Пользователь под никнеймом Machine1337, также известный как EnergyWeaponsUser, опубликовал объявление о продаже базы данных с 89 миллионами записей пользователей Steam c одноразовыми кодами доступа. За базу данных Machine1337 просит $5000.
На момент изучения утечки журналисты обнаружили только три тысячи записей. В них содержались SMS‑сообщения с кодами подтверждения Steam, включая номера телефонов получателей. Некоторые из утёекших данных датированы началом марта — это может говорить о свежести утечки.
Независимый журналист и администратор сообщества SteamSentinels под псевдонимом MellolwOnline1 предполагает, что утечка могла произойти в результате компрометации со стороны компании Twilio. Эта компания занимается облачными коммуникационными решениями, в том числе разработкой API для отправки SMS и кодов двухфакторной аутентификации.
MellolwOnline1 считает, что характер утечки указывает на доступ к системам в реальном времени и может быть связан либо со взломом административной учётной записи, либо с утечкой ключей API. По словам журналиста, в слитой базе данных можно найти лог‑записи с форматами, которые характерны именно для инфраструктуры Twilio.
Twilio заявила, что не обнаружила каких‑либо признаков компрометации своих систем. Представители компании уверяют, что тщательно изучили образцы слитых данных, и не нашли доказательств того, что они происходят из инфраструктуры Twilio. С таким заявлением компания выступила вскоре после публикации MellolwOnline1.
В Valve пока никак не прокомментировали ситуацию.
