Datenlecks sind für Unternehmen und Kund:innen gleichermaßen ärgerlich und potenziell schädlich. Denn schließlich können Daten wie Passwörter und E-Mail-Adressen in den falschen Händen landen und so weitere Accounts und Logins kompromittieren, während für Unternehmen der Image-Schaden enorm ist. Einen solchen Leak haben jetzt auch viele Steam-Gamer:innen und Valve befürchtet, nachdem mehr als 89 Millionen Datensätze von der Spieleplattform im Darknet gelandet sind.

Die Infos zum Steam-Datenleck kamen zunächst von X-User „Mellow_Online1„. Demnach wurden die Datensätze im Darknet für 5.000 US-Dollar angeboten. Aufgrund der Summe dachten viele, dass es sich um verwertbare Daten von Steam-User:innen handeln würde. Kurz darauf wurde bekannt, dass es sich offenbar um keinen direkten Leak von Steam handelt. Stattdessen soll ein externer Dienst namens Trillio, den Valve angeblich für die Spieleplattform nutzen würde, angegriffen worden sein. Trillio bietet Kund:innen Lösungen für Zwei-Faktor-Authentifizierungen über Dienste wie SMS oder Anrufe.

Trillio und Valve dementierten aber kurz darauf, dass der Dienst auf Steam zum Einsatz kommt. Zeitgleich bestätigte Valve das Datenleck, gab aber Entwarnung. Wirklich wichtige Daten von Steam-User:innen wurden bei dem Leak nicht entwendet. Es wurden also weder E-Mail-Adressen noch Passwörter oder Bezahlinformationen von Steam gestohlen.

Stattdessen haben es die Angreifer:innen wohl geschafft, eine Liste mit alten 2FA-Codes, die über SMS verschickt wurden, zu stehlen. Die Liste umfasst die gesendeten Codes sowie die Telefonnummern, an die sie gesendet wurden und die Kosten für den SMS-Versand. Wie Heise berichtet, handelt es sich dabei vornehmlich um portugiesische Telefonnummern. Valve betont, dass die Telefonnummern keinen Steam-Accounts zugeordnet werden können. Und da die Codes zudem immer nur 15 Minuten gültig waren, können Hacker:innen nichts mit ihnen anfangen.

Steam-Gamer:innen müssen ihre Passwörter oder E-Mail-Adressen also nicht ändern. Valve empfiehlt allerdings, dass ihr den sogenannten Steam Guard für euer Konto aktiviert. Über die 2FA-Lösung erhaltet ihr bei einer neuen Anmeldung in Steam einen Code per Mail oder in der Steam-App. Diesen müsst ihr eingeben, um euch zu verifizieren. Da die Ursache des Leaks aber weiterhin ungeklärt ist, plant Valve weitere Untersuchungen zum Vorfall.

