Twilio insiste que não sofreu uma violação
Twilio negou em uma declaração ao BleepingComputer que tenha sofrido uma violação, após alegações de um agente de ameaças que afirmou possuir mais de 89 milhões de registros de usuários do Steam contendo códigos de acesso únicos.
O agente de ameaças, usando o pseudônimo Machine1337 (também conhecido como EnergyWeaponsUser), anunciou um conjunto de dados supostamente extraídos do Steam e os ofereceu para venda por US$ 5.000.
Ao examinar os arquivos vazados — que continham 3.000 registros — o BleepingComputer descobriu mensagens de texto SMS históricas com códigos de acesso únicos para o Steam, incluindo os números de telefone dos destinatários.
.jpg)
Postagem do autor da ameaça sobre XSS
Fonte: BleepingComputer
Steam e Valve
De propriedade da Valve Corporation, o Steam se destaca como a maior plataforma de distribuição digital de jogos para PC do mundo, com mais de 120 milhões de usuários ativos mensais.
A Valve, no entanto, não respondeu aos nossos pedidos de comentário sobre as alegações do autor da ameaça.
Enquanto isso, o jornalista independente de jogos MellowOnline1 — que também criou o grupo da comunidade SteamSentinels, que monitora abuso e fraude no ecossistema Steam — sugere que o incidente envolve um comprometimento da cadeia de suprimentos vinculado à Twilio.
MellowOnline1 fez referência a evidências técnicas nos dados vazados, que mostram entradas de log de SMS em tempo real dos sistemas de back-end da Twilio, e propôs uma conta de administrador comprometida ou uso indevido de chaves de API.
Fonte: BleepingComputer
Twilio
A Twilio, uma empresa de Comunicações em nuvem, oferece APIs para envio de SMS, Chamadas de voz e Mensagens 2FA, Amplamente Adotadas por Aplicativos como o Steam para Autenticação de Usuários.
Quando a BleepingComputer Questionou a Twilio sobre seu Possível Envolvimento na suposta Violação do Steam, um Porta-voz Reconheceu a Situação e Confirmou que a empresa está Investigando.
“A Twilio leva essas ameaças muito a sério e está analisando o suposto incidente. Forneceremos mais informações assim que estiverem disponíveis”, disse um porta-voz da empresa à BleepingComputer.
Posteriormente, a Twilio emitiu uma Declaração Esclarecendo que os Sistemas da empresa Permaneciam seguros.
“Não há evidências que sugiram que a Twilio tenha sido violada. Analisamos uma amostra dos dados encontrados online e não vemos nenhuma indicação de que esses dados tenham sido obtidos da Twilio”, acrescentou o porta-voz.
Com base nos dados, uma Possível Explicação para sua origem é um Vazamento de um Provedor de SMS que Intermedia a entrega de códigos de acesso únicos entre Usuários da Twilio e do Steam.
Notavelmente, algumas das Mensagens vazadas contêm Claramente códigos de Confirmação usados para acessar uma conta Steam ou para Associar um número de Telefone a uma.
No entanto, o BleepingComputer não Conseguiu Determinar se os dados se Originaram de um Provedor de SMS nem Identificar o Provedor em questão. Além disso, não Conseguimos Verificar as Alegações do autor da ameaça.
É Importante Ressaltar que alguns dos dados parecem ser Relativamente Recentes, com muitas datas de entrega Rastreadas até o início de março.
A Twilio oferece um produto de Autenticação de dois fatores (2FA) chamado API de Verificação, que os Clientes — Incluindo Provedores de jogos — podem usar em vários canais de Comunicação, como SMS, WhatsApp, voz, e-mail, chaves de acesso, Aprovação Silenciosa de Dispositivos, push ou senhas de uso único com base em tempo.
Como medida de Precaução, os Usuários do Steam devem Habilitar o Steam Guard Mobile Authenticator para Segurança extra e Monitorar Regularmente a Atividade de suas contas em busca de Tentativas de login não Autorizadas.
Fonte: BleepingComputer, Bill Toulas
Leia mais em Impreza News
