Коды входа от Steam слили в сеть: что делать пользователям

На одном из хакерских форумов появился пост от пользователя Machine1337 (он же EnergyWeaponsUser), который предлагает за $5 000 архив с более чем 89 миллионами одноразовых кодов доступа пользователей Steam. По его утверждению, в базе содержатся лог-записи с кодами, которые отправлялись по SMS для входа в аккаунт или привязки номера телефона, сообщает SecurityLab.

Информацией заинтересовался независимый журналист и администратор сообщества SteamSentinels, известный под ником MellolwOnline1. Он предполагает, что утечка может быть связана с взломом инфраструктуры Twilio — крупного поставщика облачных коммуникационных сервисов, чьи API широко используются для доставки SMS-кодов двухфакторной аутентификации. По его словам, формат логов в слитых данных соответствует внутренней структуре Twilio, а характер утечки указывает на возможный взлом административной учётной записи или компрометацию API-ключей.

Однако вскоре после публикации этих предположений компания Twilio заявила, что не обнаружила признаков компрометации своих систем. Специалисты проанализировали образцы слитых данных и не нашли доказательств, что они были получены через инфраструктуру компании. При этом в Twilio подчёркивают, что расследование продолжается.

Компания Valve, владеющая Steam, ситуацию пока не прокомментировала.

На данный момент в открытом доступе подтверждено наличие около 3 000 строк данных. В них содержатся номера телефонов и текстовые сообщения с кодами от Steam. Некоторые записи датированы мартом 2025 года, что свидетельствует о свежести информации.

Эксперты не исключают, что утечка могла произойти через стороннего поставщика SMS-услуг, который сотрудничает с Twilio и выступает промежуточным звеном между сервисом и конечным пользователем.