Комментарии 42
А где этот форум ? Давайте куплю
Очередное доказательство ущербности SMS в качестве второго фактора.
Мне уже пару недель приходят СМС с кодом восстановления для Steam, теперь понятно откуда.
Очередное доказательство ущербности SMS в качестве второго фактора.
Ну, не совсем. Потому что от утекших кодов пользы нет. Они же одноразовые. Вопрос о том, на что они вообще где-то хранились.
Ладно Steam, но при взломе SMS-гейта можно получить доступ к счетам клиентов большинства российских банков.
Ладно Steam, но при взломе SMS-гейта можно получить доступ к счетам клиентов большинства российских банков.
Вот это - аргумент, да. Собственно, тот факт, что коды почему-то утекли, хотя их нет никакого смысла хранить - показывает, как в цитате из новости
MellolwOnline1 считает, что характер утечки указывает на доступ к системам в реальном времени
Те в данном случае сами данные из утечки не так чтобы опасны. Но она показывает, что куда-то доступ был, куда ну вот совсем не должен бы.
Так если бы SMS была ущербна, то вам бы смс не приходили и сидели бы Вы без аккаунта и без почты
Так это не отменяет ущербности SMS. Буквально любой вариант второго фактора лучше. И почта, и тем более TOTP.
SMS - самый всратый второй фактор. Номера жёстко привязаны к операторам связи. Операторы связи привязаны к странам, пользователь переехал - приплыли. Номера быстро тухнут от неактивности. Сами операторы связи - решето, и могут как нефиг делать "восстановить" твою сим-карту кому попало как из-за некомпетентности, так и в результате злого умысла.
И даже на стороне сайта второй фактор через SMS - та ещё боль в жопе. Потому что отправка SMS денег стоит, и занимаются этой операцией обычно специальные сервисы. Которые иногда текут или ломаются, и становятся дырой в твоей безопасности.
Зато номера телефонов очень удобно сшивать с другими личными данными и продавать. Это единственное преимущество SMS. Так что теперь вы знаете, зачем так много сайтов требуют номер телефона безальтернативно.
Я вам сейчас Америку открою но для того чтобы пользоваться TOTP и (в последнее время) почтой нужен...(барабанная дробь) НОМЕР ТЕЛЕФОНА.
Так что удачи остаивать "альтернативы" и дальше
Пользуюсь TOTP без номера телефона всю жизнь, покажете зачем он там?
TOTP — это алгоритм на десяток строчек, которому нужен только секретный код и синхронизированное текущее время.
напомните, а зачем мне нужен номер телефона для почты и totp?
Номера жёстко привязаны к операторам связи. Операторы связи привязаны к странам, пользователь переехал - приплыли.
Во многих странах это не так. Можно запросто переехать на другого оператора с сохранением номера. Вроде даже в россии это теперь возмножно, не изучал вопрос, но какие-то новости слышал. Крайний случай переезда в другую страну весьма редок. Кроме того. номер можно поменять в настройках.
Вот то, что смс и безопасность вообще не пересекаются и кто угодно может получать какие угодно смс с весьма простым оборудыванием - это беда, да.
Зато номера телефонов очень удобно сшивать с другими личными данными и продавать. Это единственное преимущество SMS.
Не только, это еще и минимальная защита от ботов. Ибо номера получать на порядки дороже и сложнее почти любого другого метода.
Переезд, на сколько я знаю, реализуется через переадресацию или типа того. Номерная емкость выдаётся пулами и эти пулы никто не правит после переезда каждого абонента. То есть это еще более всратый костыль чем СМС.
Крайний случай переезда в другую страну весьма редок.
По состоянию на 2020 год, по данным ООН, по числу эмигрантов в абсолютных числах Россия занимает 3-е место в мире (10,65 млн чел. или 6,8 % населения)
Не хотел бы я пользоваться сервисом, который вы писали, если для вас 7% это редкий случай, который можно игнорировать
Номера жёстко привязаны к операторам связи.
Это в какой стране?
мне коды доступа к стим на почту приходят стабильно раз в пару месяцев уже лет 5. несколько раз менял пароль на случайно сгенерированный и всё равно приходят
А как факт прихода СМС доказывает его ущербность? Не вижу связи.
Обычно проблема с кодами в том, что у них долгое время жизни (закладывается время на доставку), а у сервисов нет ограничения на количество ввода, так что за это время их тупо успевают подобрать перебором.
Если коды истекают, то вообще пофиг на их слив
Есть хоть список колонок в дампе?
На момент изучения утечки журналисты обнаружили только три тысячи записей.
Поразительно, интересно как это связано с надписью "3K Samples:"?
Независимый журналист и администратор сообщества SteamSentinels под псевдонимом MellolwOnline1 предполагает, что утечка могла произойти в результате компрометации со стороны компании Twilio.
Valve уже ответили, что не пользуются Twillo
В чём смысл то, если коды одноразовые?
Безопасность, говорили они...
В чём проблема одной из компаний, да хотя бы тому же стиму, выкупить эту базу? Просто чтобы поддержать свою репутацию.
🤔
Steam не использует Twilio .
«Пароли устарели», — говорили они. «Всё через номер телефона и СМС», — говорили они. «Убобне!» — говорили они. «Секурне!» — говорили они. «У Microsoft от отсутствия этого Skype умер!» — говорили они...
https://store.steampowered.com/news/app/593110/view/533224478739530145?
Возможно, вы видели информацию об утечках старых текстовых сообщений, которые ранее отправлялись пользователям Steam. Мы изучили фрагмент утёкших данных и пришли к выводу, что системы Steam НЕ БЫЛИ взломаны.
Ми всё ещё ищем источник утечки. Ситуация осложняется тем, что в процессе доставки СМС-сообщения находятся в незашифрованном состоянии и проходят через несколько операторов сотовой связи, прежде чем попасть на ваш телефон.
Утечка состоит из старых текстовых сообщений с одноразовыми кодами, действительными лишь в течение 15 минут, и номеров телефонов, на которые они отправлялись. Утёкшие данные не позволяют определить аккаунт, пароль, платёжную информацию и другие личные данные пользователей Steam по номеру телефона. С помощью старых текстовых сообщений нельзя взломать ваш аккаунт Steam. Кроме того, каждый раз, когда вы используете СМС-код для смены своего адреса эл. почты или пароля Steam, вам приходит подтвержение через эл. почту и/или мобильный аутентификатор Steam.
Вам не нужно менять свои пароли или номера телефонов из-за данного инцидента. Однако это хорошее напоминание о том, что к любым сообщениям о безопасности аккаунта, которых вы не запрашивали, следует относиться с подозрением. Рекомендуем регулярно проверять безопасность своего аккаунта Steam по этой ссылке:
https://store.steampowered.com/account/authorizeddevices
Кроме того, рекомендуем настроить мобильный аутентификатор Steam, если вы его не используете, так как это лучший способ получения защищённых сообщений об аккаунте и его безопасности.
https://dtf.ru/steam/3766482-utechka-dannykh-steam-ekspert-oproverg-slukhi
Эксперт по информационной безопасности Кристофер Кунц изучил выборку из предполагаемой утечки данных о 89 миллионах пользователей Steam. Он выяснил, что архив содержит не логины и пароли, а логи отправки SMS и номера телефонов.
По сути, злоумышленник получил и теперь пытается продать 89 миллионов логов отправки SMS. В этих логах — куча очень скучной метаинформации вроде даты доставки, задержек, операторов связи и тому подобного. Но данные свежие (за 2025 год) и в них содержатся номера телефонов.
Это может быть интересно мошенникам, которые захотят устроить масштабную фишинговую атаку на пользователей Steam, но едва ли это повод паниковать или срочно менять пароль.
Кунц объяснил, что в демонстрационной выборке находится 3000 записей из Португалии, но из них лишь 1800 уникальных номеров. Если экстраполировать по этому образцу, то общее количество уникальных номеров, скорее всего, не превышает 53 миллиона, сообщил эксперт. По его словам, ситуация неприятная, но максимум, на что годятся эти данные — это фишинговые рассылки.
Поэтому мой Steam профиль всегда закрыт, нечего сторонним сервисам скрейпить мои данные
Данные 89 млн аккаунтов пользователей Steam утекли через сторонний сервис