A Valve, empresa por trás da plataforma de jogos Steam, veio a público esclarecer rumores de um suposto vazamento de dados envolvendo milhões de registros de usuários. Após repercussão nas redes sociais e veículos especializados, a empresa confirmou que parte das informações divulgadas é autêntica, mas negou que tenha ocorrido uma violação em seus sistemas.
- Siga o Critical Hits e não perca mais um post: Google News, Twitter, Bluesky, Instagram, Youtube
O que foi vazado e por quem
As suspeitas começaram após a publicação de uma oferta em um fórum da dark web por um indivíduo identificado como Machine1337, que alegava estar vendendo mais de 89 milhões de registros vinculados ao Steam. O conteúdo divulgado incluía metadados, números de telefone e mensagens de texto antigas contendo códigos de autenticação em dois fatores (2FA).
Segundo o grupo de monitoramento Underdark.ai, a base de dados incluía informações como conteúdo das mensagens, status de entrega, metadados e custos de roteamento. No entanto, não havia nenhuma ligação direta com senhas, e-mails, informações bancárias ou dados de login das contas do Steam.
Valve nega falha interna
Em nota oficial publicada no Steam, a Valve foi categórica: não houve invasão nos sistemas da empresa. O que foi acessado, segundo a desenvolvedora, foram mensagens SMS enviadas anteriormente a usuários do Steam, contendo códigos temporários que expiram após 15 minutos. Ainda assim, a origem do vazamento segue sob investigação.
A empresa também explicou que essas mensagens, por natureza, não são criptografadas e trafegam por uma cadeia de provedores terceirizados até chegar ao dispositivo do usuário. A própria Valve não identificou nenhum vínculo direto com serviços como o da Twilio, inicialmente apontada como possível origem do vazamento. A Twilio, por sua vez, também negou qualquer falha de segurança em sua infraestrutura.
Riscos limitados, mas não insignificantes
Embora a Valve tenha minimizado o impacto do vazamento, a exposição de números de telefone, mesmo isoladamente, pode facilitar ataques de phishing direcionados. Combinados a outras bases de dados vazadas, esses números poderiam ser utilizados para tentar enganar usuários, simulando comunicações legítimas do Steam.
A empresa ressalta que sempre que houver tentativa de alteração de e-mail ou senha por meio de um código SMS, o usuário é notificado por e-mail e também dentro da própria plataforma, dificultando ações maliciosas com base nas mensagens vazadas.
Recomendações para usuários
Apesar de não ser necessário alterar senhas ou números de telefone, a Valve recomenda que os usuários fiquem atentos a mensagens suspeitas e revisem regularmente a segurança de suas contas no painel de dispositivos autorizados. A empresa também incentiva o uso do Steam Mobile Authenticator, que fornece uma camada extra de proteção mais segura do que o tradicional envio de códigos via SMS.
