У даркнет злили 89 млн облікових записів Steam —  користувачам радять терміново змінити пароль.

Якщо витік справжній, то під загрозою можуть опинитися цілі бібліотеки ігор користувачів. Особливо це стосується тих, хто не використовує двофакторну автентифікацію (2FA). Але все-таки до цієї інформації є питання.

Якщо дотримуватися хронології, то першими на ситуацію звернули увагу юзери в X. Користувач MellowOnline1 опублікував скриншоти з LinkedIn-допису від Underdark AI. На картинці видно, що зловмисник під ніком Machine1337 запропонував продати велику базу даних Steam за $5000. Пропозицію він розмістив на одному з авторитетних форумів чорного ринку.

У дописі вказано, що база містить:

• контакт у Telegram для зв’язку з продавцем,
• посилання на зразки даних (розміщені на Gofile),
• згадки про внутрішні дані постачальника (ймовірно, мається на увазі постачальник послуг двофакторної автентифікації).

Користувачі помітили, що сам допис схожий на Cross-site scripting (XSS). Завдяки цій вразливості веббезпеки зловмисники можуть впроваджувати шкідливі скрипти у вебсторінки, які переглядають інші користувачі. Цим користуються для крадіжки даних, викрадення сеансів або навіть зміни вмісту сторінки.

Yesterday, an alleged major @Steam data breach occurred, compromising over 89 million user records (roughly two-thirds of all Steam accounts).

These datasets are being sold for over $5,000 on what appears to be a site akin to Mipped.

Mipped alongside their sister sites is a…

— Mellow_Online1 (@MellowOnline1) May 11, 2025

Creators – Агенція з міжнародного PR для технологічних та B2B компаній

PR для компаній та їх лідерів

Організація інтерв’ю в медіа, подкастах, виступи на конференціях

Європа, Азія, Америка

Дізнатись деталі

Згодом автори LinkedIn-допису оновили інформацію: «нові докази підтверджують, що витік зразка містить журнали SMS-повідомлень 2FA в режимі реального часу, що передаються через Twilio». У цих логах — вміст повідомлень, статус доставлення, метадані та вартість маршрутизації. Це може вказувати на доступ не до самого Steam, а до інтерфейсів постачальника послуг SMS. Це створює ризик фішингових атак і викрадення сесій — особливо для тих, хто не користується Steam Guard або має слабкий пароль.

Valve вже відреагувала, як повідомив той самий MellowOnline1. Представник компанії заперечив використання Twilio, яку згадали в оригінальному дописі Underdark AI.

Update: An update suggests that the alleged Steam data breach is not a direct breach of Steam itself, but rather a supply chain compromise — meaning an external service that Steam relies on was targeted.

Here’s what we understand from this update:

New evidence confirms some…

— Mellow_Online1 (@MellowOnline1) May 11, 2025

Що саме стало джерелом витоку, поки що невідомо. Спершу користувачі припускали, що йдеться про сам Steam, але потім увагу перемикнули на Twilio. Втім, поки що підтверджень немає, і ситуація залишається незрозумілою. Valve на момент публікації не оприлюднила офіційних заяв, але незалежно від цього експерти радять користувачам Steam негайно змінити пароль та переконатися, що увімкнено 2FA.

СпецпроєктиBlackview представляє захищений флагман BL7000. Він працює на базі трьох провідних AI-моделейСпікери з GitLab, Epam Systems, mono та не тільки. Чому варто потрапити на DOU Day 2025

Steam Guard — це власна система двофакторної автентифікації Valve, і, за наявними даними, викрадені дані не дозволяють її обійти. Але ті, хто нею не користується, можуть стати легкою мішенню. Також є ризик, що зловмисники використають отриману інформацію для фішингових кампаній.

Щодо порад із захисту акаунта вони класичні. Зокрема варто уникати очевидних паролів, не повторювати один і той самий пароль у кількох сервісах. Також варто перевірити, чи не потрапляли ваші дані до попередніх витоків через сервіси типу HaveIBeenPwned. Valve поки не підтвердила факт витоку, але й повністю не спростувала. Тож якщо вам шкода свою рідну бібліотеку — краще перестрахуватися.

Скільки-скільки? В Steam знайшли приховану сторінку, яка рахує ваші витрати на ігри

Джерело: XDA Developers

Джерело