Хакер под ником Machine1337 выставил на продажу массив данных, якобы содержащий 89 млн записей пользователей Steam. В дампе нашли SMS-сообщения с одноразовыми кодами для Steam, а также номера телефонов их получателей. Исследователи предполагают, что это может быть связано с компрометацией компании Twilio.

Machine1337 (он же EnergyWeaponsUser) продает дамп за 5000 долларов, но в качестве образца данных он выложил в открытый доступ 3000 записей.

Независимый игровой журналист MellowOnline1, который также является создателем группы SteamSentinels, отслеживающей злоупотребления и мошенничество в экосистеме Steam, предполагает, что эта утечка не связана с компрометацией самого Steam, и скорее является результатом атаки на цепочку поставок, затронувшей компанию Twilio.

MellowOnline1 отмечает, что дамп содержит технические свидетельства, которые похожи на утечку SMS-логов из внутренних систем Twilio. По его словам, речь может идти о взломе учетной записи администратора или злоупотреблении ключами API.

Компания Twilio занимается разработкой и предоставлением облачных PaaS-услуг, а также предоставляет продукт для двухфакторной аутентификации (2ФА) — Verify API. Он может применяться для отправки SMS-сообщений, сообщений в мессенджерах, электронных писем, пуш-уведомлений, голосовых вызовов и TOTP (Time-based One-Time Password), что широко используется во многих приложениях (включая Steam) для аутентификации пользователей.

Как сообщили журналисты издания Bleeping Computer, изучившие бесплатный образец данных, опубликованных Machine1337, некоторые SMS-сообщения явно представляют собой коды для подтверждения доступа к аккаунту Steam или привязки к нему телефонного номера. При этом некоторые данные были получены относительно недавно: многие из них датированы началом марта.

Однако журналистам не удалось определить, связана ли эта утечка именно с Twilio. По их словам, компрометация также могла произойти, например, на стороне SMS-провайдера, который является посредником при передаче кодов между Twilio и пользователями Steam.

Представители Twilio заявили изданию, что уже провели расследование возможного инцидента и не выявили никаких признаков компрометации.

«Нет никаких доказательств того, что системы Twilio были скомпрометированы. Мы проанализировали образец данных, опубликованных в интернете, и не обнаружили никаких признаков того, что эти данные могли быть получены из систем Twilio», — сообщили в компании.

В качестве меры предосторожности пользователям Steam рекомендуется использовать Steam Guard Mobile Authenticator для дополнительной защиты. Также следует отслеживать активность своей учетной записи, чтобы вовремя заметить подозрительную активность.

UPD.

MellowOnline1 сообщил, что с сегодня (14 мая 2025 года) ним связались представители Valve и заявили, что компания вообще не пользуется услугами Twilio.

Исследователь объясняет, что, согласно новой информации, Twilio все же не является источником утечки. Однако пользователям Steam все равно рекомендуется соблюдать меры предосторожности, ведь данные по-прежнему в продаже.

UPD. 2

Представители Valve выпустили официальное заявление.
В компании подчеркивают, что эта утечка не связана со взломом Steam или систем Valve.