L'allarme sicurezza che ha coinvolto Steam nelle ultime ore ha rapidamente attirato l'attenzione della community di giocatori e degli esperti di cybersecurity. Valve, la società madre della popolare piattaforma di distribuzione digitale, è intervenuta ufficialmente per chiarire la situazione riguardante una presunta fuga di dati che avrebbe coinvolto milioni di utenti (di cui vi abbiamo parlato ieri qui). Secondo la compagnia, non si è trattato di una vera e propria violazione dei sistemi di Steam, ma di una fuga di vecchi messaggi di testo contenenti codici temporanei di accesso inviati ai clienti.
Al centro della controversia c'è la notizia, riportata da BleepingComputer, secondo cui un hacker avrebbe messo in vendita a 5.000 dollari un database contenente informazioni relative a ben 89 milioni di account. Il portale specializzato ha esaminato circa 3.000 file trapelati, verificando che effettivamente contenevano messaggi SMS storici con passcode usa-e-getta per l'accesso a Steam, comprensivi dei numeri di telefono dei destinatari.
La vicenda si è ulteriormente complicata quando un utente della piattaforma X ha ipotizzato un possibile coinvolgimento di Twilio, azienda specializzata in servizi di comunicazione cloud. Questa connessione è stata prontamente smentita sia da Twilio che da Valve. Un portavoce di Twilio ha dichiarato a BleepingComputer che "non c'è alcuna prova che suggerisca una violazione dei sistemi Twilio" e che, dopo aver esaminato un campione dei dati circolati online, non emergono indicazioni che tali informazioni provengano dai loro server.
Il reale impatto sulla sicurezza degli utenti
La natura dei dati trapelati limita considerevolmente i rischi per gli utenti Steam. Valve ha precisato che la fuga riguarda esclusivamente vecchi messaggi di testo contenenti codici temporanei, validi solo per finestre di 15 minuti, insieme ai relativi numeri di telefono. Nessuna associazione diretta tra questi numeri e gli account Steam è presente nel database compromesso, così come sono assenti password, informazioni di pagamento o altri dati personali sensibili.
"I vecchi messaggi di testo non possono essere utilizzati per violare la sicurezza del tuo account Steam", ha rassicurato Valve nella sua comunicazione ufficiale. "Inoltre, ogniqualvolta un codice viene utilizzato per modificare l'email o la password di Steam tramite SMS, riceverai sempre una conferma via email e/o attraverso i messaggi sicuri di Steam."
Questo tipo di attacco rappresenta una minaccia relativamente contenuta rispetto ad altre violazioni di dati più gravi. I codici temporanei a uso singolo (OTP) sono progettati proprio per essere validi solo per un periodo limitatissimo di tempo, rendendo pressoché inutile qualsiasi tentativo di utilizzo a posteriori. La mancanza di correlazione diretta tra i numeri di telefono e gli account specifici costituisce un'ulteriore barriera protettiva.
Nonostante le rassicurazioni, Valve ha confermato di star ancora indagando sull'origine della fuga di dati. L'azienda ha raccomandato agli utenti di attivare l'Autenticatore Mobile Steam come misura di sicurezza aggiuntiva, pur precisando che non è necessario cambiare password o numero di telefono in seguito a questo episodio.