Gamingplatform Steam ontkent met klem dat er werd ingebroken in zijn infrastructuur. Een hacker claimt gegevens van 89 miljoen gebruikers te hebben, maar het gaat volgens het bedrijf om relatief waardeloze data.
Enkele dagen geleden doken berichten op van een hacker die op het dark web een dataset van 89 miljoen Steam-gebruikers zou aanbieden voor 5.000 dollar. Op het platform kunnen mensen hun games digitaal kopen en spelen. De account is voor velen de toegangspoort tot een groot deel van hun spelcollectie.
De dader had een klein stukje van de dataset publiek gemaakt en die bevatte sms-logs gebruikt voor tweestapsverificatie. Al snel werd gesuggereerd dat het datalek afkomstig zou zijn van Twillio, een provider die zo’n dienst faciliteert, maar de anonieme online journalist Mellow_Online1 zegt op X dat het bedrijf dat ontkent en ook Steam zegt dat het Twillo niet gebruikt.
Ongeldige codes
In de reactie van Steam zegt het bedrijf dat zijn systemen niet zijn gehackt. Het onderzoekt het datalek zelf nog en merkt op dat sms-berichten voor two-factor-authentication (2FA) via verschillende providers tussen Steam en je telefoon lopen en vaak ongeëncrypteerd zijn.
Het benadrukt ook dat de publiek gemaakte gegevens relatief waardeloos zijn. ‘Het gaat om oudere tekstberichten met éénmalige codes die slechts 15 minuten geldig zijn.’ De telefoonnummers naar waar ze zijn gestuurd zitten ook in de dataset, maar die zijn niet gelinkt aan een Steam-account of andere persoonlijke gegevens.
Geen accounts in gevaar
Steam zegt dat gebruikers geen stappen moeten ondernemen, zoals het veranderen van hun wachtwoord. Wel zegt het om altijd voorzichtig te zijn met berichten rond accounts of de veiligheid daarvan. Ook wijst het naar zijn eigen Steam Mobile Authenticator, die ook voor tweestapsverificatie zorgt, maar op een veiligere manier.
Van waar de data dan wel afkomstig zijn, en of de volledige dataset effectief persoonsgegevens van 89 miljoen gebruikers bevat, is dus niet helemaal duidelijk. Maar het gaat alvast niet om een enorm datalek bij Steam of een directe partner van het bedrijf en de impact op de veiligheid van de accounts is voor zover duidelijk zeer beperkt.