Alegadamente, os dados de 89 milhões de contas Steam estão a ser vendidos online e é recomendado que se mude a password.
Cerca de 89 milhões de contas da Steam podem ter sido comprometidas, depois de uma base de dados com informações de utilizadores ter sido colocada à venda num fórum da dark web por 5 mil dólares. A origem da fuga ainda não está confirmada, mas não terá sido um ataque direto à Steam.
As primeiras informações surgiram através do utilizador no Twitter @Meoow_Onliner1, que chamou à atenção de uma publicação da Underdark AI no LinkedIn. De acordo com esta fonte, um utilizador identificado como Machine1337 está a vender os dados num fórum conhecido por atividades ilegais. A Underdark AI aponta que os ficheiros incluem registos associados a sistemas de autenticação por SMS, o que indicaria uma falha num serviço externo utilizado pela Steam.
Foi inicialmente sugerido que a origem do problema estivesse na Twilio, empresa que presta serviços de comunicação e envio de códigos 2FA (autenticação de dois fatores). Contudo, a Valve negou usar a Twilio, mas as várias amostras divulgadas mostram mensagens reais com códigos, datas, números de telefone e outros dados sensíveis, o que confirma que pelo menos parte da informação é legítima.
De momento, não há provas de que os servidores da Steam tenham sido atacados. Tudo indica que se trata de um comprometimento numa plataforma usada para o envio de mensagens de verificação, o que pode afetar qualquer utilizador que não tenha ativado o Steam Guard. Até agora, a Valve ainda não comentou oficialmente a situação.
Enquanto não houver mais esclarecimentos, recomenda-se a todos os utilizadores que mudem a sua password, especialmente se não tiverem autenticação de dois fatores ativa. Mesmo que a fuga não envolva palavras-passe diretamente, os dados disponíveis podem ser usados para tentativas de phishing ou de acesso a contas mais vulneráveis.
