Goda nyheter: 89 miljoner Steam-konton hackades inte

Valve har precis rensat luften. Efter ett viralt LinkedIn-inlägg som hävdade att över 89 miljoner Steam-konton läcktes och var till salu på den mörka webben, började paniken spridas.

Men Valve säger att allt är falskt.

"Vi har undersökt läckageprovet och har fastställt att detta INTE var ett brott mot Steam-systemen."

Det är direkt från Valves nya uttalande, som publicerades efter en våg av larm som drivs av Underdark.ai och plockades upp av X-användaren Mellow_Online1. Påståendena lät allvarliga - provdata, Telegram-kontakt, ett begärt pris på 5 000 dollar - men verkligheten? Inte så mycket.

Så vad var det som läckte ut?

Filerna som gjorde rundorna var inte fulla av kontoinloggningar eller lösenord. De var gamla SMS-loggar - specifikt de textmeddelanden som innehåller Steams engångskoder för 2FA. Du vet, de sexsiffriga siffrorna du får när du loggar in.

Valve säger att dessa koder är:

• Endast giltiga i 15 minuter
• Inte knutna till kontouppgifter, lösenord eller betalningsinformation
• Innehåller inget annat än ett telefonnummer

Så även om någon fick tillgång till dessa texter är de i princip värdelösa. Det finns inget sätt att logga in på ditt Steam-konto utan den realtidskoden och ditt lösenord, och om en kod någonsin används för att ändra något viktigt skickar Steam också en bekräftelse till din e-post.

"Gamla textmeddelanden kan inte användas för att bryta mot säkerheten för ditt Steam-konto", betonade Valve.

Ingen anledning till panik. Du behöver inte ändra ditt lösenord eller telefonnummer.

Valve utsattes aldrig för intrång - och inte heller Twilio

Tidigare teorier pekade på Twilio, ett företag som är känt för att hantera SMS för tvåfaktorsautentisering. Men både Valve och Twilio bekräftade att denna läcka inte hade något att göra med någon av dem.

Uppgifterna verkar ha kommit från någonstans längre ner i SMS-leveranskedjan - en tredjepartsleverantör som hanterade meddelandeleverans. Så detta var inte ett brott mot Steam själv eller dess autentiseringssystem. Det var en läcka av gamla leveransloggar, förmodligen skrapade eller skrapade i andra hand.

Även om ditt lösenord är säkert är det fortfarande värt att se över din Steam-säkerhetsinställning:

• Aktivera Steam Guard Mobile Authenticator för bättre 2FA-skydd.
• Granska dina auktoriserade enheter för att se till att det inte finns något skumt.
• Använd en lösenordshanterare (som 1Password eller Bitwarden) för att generera unika, säkra lösenord.

Dessa SMS-koder var alltid tänkta att vara en nödlösning. Nuförtiden är Steams mobilbaserade 2FA mycket säkrare och mycket svårare att fånga upp eller förfalska.

Och allvarligt talat - om du fortfarande skriver "dota2rocks" som ditt lösenord är det dags att pensionera den dåliga pojken.

Kommer du ihåg de tidiga bedrägeribotarna?

Hela den här röran väcker också minnen från Steams mörkare dagar under första halvan av 2010-talet - när handelsbedrägerier var vilda och bots skulle skräpposta din inkorg med skumma länkar som:

"Hej, är det här ditt föremål? Kolla stearncommunity(dot)com"

Ja, det är sant. De använde ett lömskt skrivfel - "stearn" istället för "steam" - och lurade tusentals. På den tiden missbrukade bluffrobotar Steams chatt- och handelssystem konstant. Användare fick falska erbjudanden eller varningar, klickade på dåliga länkar och förlorade tillgången till hela lager fyllda med CS: GO-skins.

Jämfört med den eran känns det här falska intrånget milt. Men det är fortfarande en påminnelse om att bedragare inte har gått någonstans. De har bara blivit mer subtila.

Nej, 89 miljoner konton hackades inte. Nej, ditt Steam-bibliotek är inte i riskzonen. Men om detta orsakade en liten hjärtfrekvensspik, kanske det är din signal att dubbelkolla dina inställningar och strama upp saker.

Steam Guard. Säkra lösenord. Klicka inte på slumpmässiga Telegram-länkar. Du vet hur det går till.

Och hey, åtminstone den här gången behövde ingen se hela sitt lager av Doppler-knivar försvinna till en bedragares konto.