Une possible fuite de données impliquant 89 millions de comptes Steam a récemment semé la confusion, après qu’un hacker se faisant appeler Machine1337 a affirmé avoir mis en vente ces informations sur le dark web pour 5 000 dollars.
L’affaire a pris de l’ampleur lorsqu’Underdark.ai, une société spécialisée en cybersécurité, a relayé l’information sur LinkedIn, avant qu’elle ne se propage plus largement via le réseau X, notamment grâce à l’utilisateur Mellow_Online1. Ce dernier a rapporté que les données en question comprendraient des journaux d’envoi de SMS de vérification, des numéros de téléphone, ainsi que diverses métadonnées.
SMS d’authentification
Un lien potentiel avec la plateforme Twilio, souvent utilisée pour l’envoi de SMS d’authentification, a été évoqué, mais l’entreprise a immédiatement nié toute implication.
« Rien n’indique que Twilio ait été victime d’un piratage. Nous avons examiné un échantillon des données trouvées en ligne et rien n’indique que ces données aient été obtenues auprès de Twilio », a affirmé un porte-parole auprès de BleepingComputer.
Face à l’inquiétude croissante parmi les joueurs, Valve, l’entreprise derrière la plateforme Steam, a rapidement réagi pour clarifier la situation. Elle reconnaît l’existence d’une fuite contenant d’anciens SMS envoyés aux utilisateurs, accompagnés de numéros de téléphone. Toutefois, elle affirme que cette fuite ne provient pas d’une faille dans ses propres systèmes :
« Il se peut que vous ayez entendu des rumeurs à propos de fuites d’anciens SMS précédemment envoyés à la clientèle Steam. Nous avons examiné les SMS en question, et avons conclu qu’il ne s’agissait PAS d’une brèche des systèmes Steam. »
Selon Valve, les messages concernés étaient des codes à usage unique, valides uniquement pendant 15 minutes. De plus, ces SMS n’étaient pas reliés à des identifiants de compte, des mots de passe ou toute autre information sensible comme des données bancaires.
Laisser un commentaire