A quanto pare c’è stato un data breach su Steam, la piattaforma di distribuzione digitale di videogiochi per PC più popolare e famosa: nelle scorse ore un sedicente hacker ha messo in vendita sul Dark Web un archivio di dati relativi a 89 milioni di account, circa un terzo del totale registrato sulla piattaforma di Valve. Al momento non è perfettamente chiaro quali siano i dati compromessi: il prezzo è peraltro piuttosto basso, 5.000 dollari. Non si può nemmeno escludere l’ipotesi di una truffa.
Come da prassi l’hacker ha offerto un piccolo sample del dataset per dimostrare la bontà del database. Analizzando i sample, un esperto di sicurezza ha trovato indizi che puntano a Twilio, una società che si occupa di autenticazione a due fattori. L’ipotesi è quindi che non sia stata hackerata Valve in sé, ma una società partner “secondaria”, per così dire. Non sarebbe certo il primo caso, anzi: è una circostanza che si verifica piuttosto spesso.
Twilio, però, smentisce. Una volta venuta a conoscenza dell’accaduto ha analizzato per bene i dati e dice di non aver trovato indicazioni che dimostrino che sono stati rubati alla società. Valve, tra l'altro, ha confermato di non avere tra i propri partner tecnologici Twilio. È comunque evidente che tra i dati rubati ci sono molti codici di conferma, anche noti come OTP (One-Time Password), per le procedure di 2FA. Tra l’altro alcuni record sono molto recenti - ce ne sono di risalenti a marzo 2025.
In base alle informazioni emerse fin qui - non ultimo il prezzo relativamente basso dell’intero pacchetto - il data breach sembra relativamente innocuo. Non è nemmeno chiaro se sono state compromesse delle password. Naturalmente non ci si può accontentare di un mero “sembra” quando si parla di sicurezza, quindi aspettiamo ulteriori delucidazioni da parte di Valve, che ha detto che sta indagando. Per precauzione, comunque, può essere una buona idea un cambio di password della piattaforma - cosa che andrebbe fatta periodicamente a prescindere.
How this VC spots the global game changers