
Boas notícias: 89 milhões de contas Steam não foram pirateadas
A Valve acabou de esclarecer tudo. Depois de um post viral no LinkedIn afirmar que mais de 89 milhões de contas Steam tinham sido divulgadas e estavam à venda na dark web, o pânico começou a espalhar-se.
Mas a Valve diz que tudo isso é falso.
"Examinámos a amostra da fuga e determinámos que NÃO se tratou de uma violação dos sistemas Steam.
Isto vem diretamente da nova declaração da Valve, publicada após uma onda de alarme alimentada pelo Underdark.ai e recolhida pelo utilizador X Mellow_Online1. As alegações pareciam sérias - dados de amostra, contacto do Telegram, um preço pedido de 5.000 dólares - mas a realidade? Nem por isso.

Então, o que é que foi divulgado?
Os ficheiros que circulavam não estavam cheios de logins ou palavras-passe de contas. Eram registos de SMS antigos - especificamente, as mensagens de texto que contêm os códigos únicos 2FA do Steam. Aqueles números de seis dígitos que se obtêm quando se faz o login.
A Valve diz que esses códigos são:
- Válidos apenas por 15 minutos
- Não estão ligados a credenciais de conta, palavras-passe ou informações de pagamento
- Não contêm nada além de um número de telefone
Portanto, mesmo que alguém tenha acesso a esses textos, eles são basicamente inúteis. Não há forma de entrar na sua conta Steam sem esse código em tempo real e a sua palavra-passe e, se um código for utilizado para alterar algo importante, o Steam também envia uma confirmação para o seu e-mail.
"As mensagens de texto antigas não podem ser utilizadas para violar a segurança da tua conta Steam", sublinhou a Valve.
Não há necessidade de entrar em pânico. Não há necessidade de alterar a sua palavra-passe ou número de telefone.

A Valve nunca foi violada - e a Twilio também não
Teorias anteriores apontavam o dedo para a Twilio, uma empresa conhecida por lidar com SMS para autenticação de dois factores. Mas tanto a Valve como a Twilio confirmaram que esta fuga não teve nada a ver com nenhuma delas.
Os dados parecem ter vindo de algum lugar mais abaixo na cadeia de entrega de SMS - um fornecedor terceirizado que lidava com a entrega de mensagens. Portanto, não se tratou de uma violação do próprio Steam ou dos seus sistemas de autenticação. Foi uma fuga de registos de entrega antigos, provavelmente recolhidos ou recolhidos em segunda mão.
Mesmo que a sua palavra-passe esteja segura, vale a pena rever a configuração de segurança do Steam:
- Active o Autenticador Móvel Steam Guard para uma melhor proteção 2FA.
- Reveja os seus dispositivos autorizados para se certificar de que não há nada de suspeito.
- Utilize um gestor de palavras-passe (como o 1Password ou o Bitwarden) para gerar palavras-passe únicas e seguras.
Esses códigos SMS foram sempre concebidos para serem um paliativo. Hoje em dia, a autenticação de dois fatores baseada em dispositivos móveis do Steam é muito mais segura e muito mais difícil de intercetar ou falsificar.
E, a sério, se ainda estiver a escrever "dota2rocks" como palavra-passe, está na altura de a retirar.

Lembra dos primeiros bots de fraude?
Toda esta confusão também nos traz recordações dos dias mais negros do Steam na primeira metade da década de 2010 - quando os esquemas de comércio andavam à solta e os bots enviavam spam para a tua caixa de entrada com links duvidosos como:
"Ei, este é o teu item? Verifica a stearncommunity(dot)com"
Sim. Utilizavam um erro de digitação sorrateiro - "stearn" em vez de "steam" - e enganavam milhares de pessoas. Nessa altura, os robôs fraudulentos abusavam constantemente do sistema de conversação e comércio do Steam. Os utilizadores recebiam ofertas ou alertas falsos, clicavam em ligações erradas e perdiam o acesso a inventários inteiros cheios de skins CS:GO.
Comparada com essa época, esta falsa violação parece ligeira. Mas não deixa de ser um lembrete de que os burlões não foram a lado nenhum. Apenas se tornaram mais subtis.

Não, 89 milhões de contas não foram pirateadas. Não, a sua biblioteca Steam não está em risco. Mas se isto causou um pequeno aumento do ritmo cardíaco, talvez seja a sua deixa para verificar novamente as suas definições e tornar as coisas mais rigorosas.
Steam Guard. Palavras-passe seguras. Não clicar em links aleatórios do Telegram. Já sabes o que fazer.
E, pelo menos desta vez, ninguém teve de ver todo o seu inventário de facas Doppler desaparecer na conta de um burlão.
Comentários