Gode nyheder: 89 millioner Steam-konti blev ikke hacket

Valve har lige renset luften. Efter et viralt LinkedIn-indlæg, der hævdede, at over 89 millioner Steam-konti var lækket og til salg på det mørke net, begyndte panikken at sprede sig.

Men Valve siger, at det hele er falsk.

"Vi har undersøgt lækageprøven og har fastslået, at dette IKKE var et brud på Steam-systemerne."

Det fremgår direkte af Valves nye erklæring, som blev offentliggjort efter en bølge af alarm, der blev drevet frem af Underdark.ai og opfanget af X-brugeren Mellow_Online1. Påstandene lød seriøse - prøvedata, Telegram-kontakt, en pris på 5.000 dollars - men virkeligheden? Ikke så meget.

Så hvad blev lækket?

De filer, der blev sendt rundt, var ikke fulde af konto-logins eller passwords. Det var gamle sms-logfiler - nærmere bestemt de sms'er, der indeholder Steams engangskoder til 2FA. Du ved, de sekscifrede numre, du får, når du logger ind.

Valve siger, at disse koder er:

• Kun gyldige i 15 minutter
• Ikke knyttet til kontooplysninger, adgangskoder eller betalingsoplysninger
• Indeholder ikke andet end et telefonnummer

Så selv hvis nogen fik adgang til disse tekster, er de dybest set ubrugelige. Der er ingen måde at logge ind på din Steam-konto uden denne realtidskode og din adgangskode, og hvis en kode nogensinde bruges til at ændre noget vigtigt, sender Steam også en bekræftelse til din e-mail.

"Gamle sms'er kan ikke bruges til at bryde sikkerheden på din Steam-konto", understreger Valve.

Ingen grund til panik. Du behøver ikke at ændre din adgangskode eller dit telefonnummer.

Valve blev aldrig brudt - og det blev Twilio heller ikke

Tidligere teorier pegede på Twilio, en virksomhed, der er kendt for at håndtere sms'er til to-faktor-autentificering. Men både Valve og Twilio har bekræftet, at denne lækage ikke havde noget med nogen af dem at gøre.

Dataene ser ud til at være kommet fra et sted længere nede i SMS-leveringskæden - en tredjepartsleverandør, der håndterede levering af beskeder. Så dette var ikke et brud på selve Steam eller dets autentificeringssystemer. Det var en lækage af gamle leveringslogfiler, som sandsynligvis er blevet skrabet eller brugt.

Selv om din adgangskode er sikker, er det stadig værd at gennemgå din Steam-sikkerhedsopsætning:

• Aktivér Steam Guard Mobile Authenticator for at få bedre 2FA-beskyttelse.
• Gennemgå dine autoriserede enheder for at sikre, at der ikke er noget lyssky.
• Brug en adgangskodeadministrator (som 1Password eller Bitwarden) til at generere unikke, sikre adgangskoder.

Disse SMS-koder har altid været ment som en nødløsning. I dag er Steams mobilbaserede 2FA langt mere sikker og langt sværere at opsnappe eller forfalske.

Og helt ærligt - hvis du stadig skriver "dota2rocks" som din adgangskode, er det på tide at sende den på pension.

Kan du huske de tidlige scam-bots?

Hele dette rod bringer også minder frem om Steams mørkere dage i første halvdel af 2010'erne - dengang handelssvindel løb løbsk, og bots spammede din indbakke med lyssky links som f.eks:

"Hej, er dette din genstand? Tjek stearncommunity(dot)com"

Ja, det gjorde de. De brugte en snedig skrivefejl - "stearn" i stedet for "steam" - og narrede tusinder. Dengang misbrugte scam-bots konstant Steams chat- og handelssystem. Brugere fik falske tilbud eller advarsler, klikkede på dårlige links og mistede adgang til hele lagre fyldt med CS:GO-skins.

Sammenlignet med dengang føles dette falske brud mildt. Men det er stadig en påmindelse om, at svindlere ikke er forsvundet nogen steder. De er bare blevet mere subtile.

Nej, 89 millioner konti blev ikke hacket. Nej, dit Steam-bibliotek er ikke i fare. Men hvis det fik din puls til at stige, er det måske et tegn på, at du skal dobbelttjekke dine indstillinger og stramme op.

Steam Guard. Sikre adgangskoder. Ingen klik på tilfældige Telegram-links. Du kender rutinen.

Og hey, i det mindste behøvede ingen denne gang at se hele deres beholdning af Doppler-knive forsvinde ind på en svindlers konto.