La scorsa settimana è circolata la notizia che 89 milioni di password di Steam fossero finite nel Dark Web, con grande preoccupazione per tutti gli utenti della piattaforma di gaming. Ma le cose non stanno esattamente così. Valve con un comunicato stampa ha voluto smentire la cosa e fare chiarezza sulla situazione e quanto accaduto.
Valve afferma che non c’è stata nessuna violazione di sicurezza dei server di Steam. Ma i dati messi in vendita sul Dark Web hanno una differente provenienza. Qui di seguito il comunicato in versione integrale tradotto in italiano:
“Potreste aver visto segnalazioni di fughe di vecchi messaggi di testo inviati in precedenza ai clienti di Steam. Abbiamo esaminato il leak e abbiamo stabilito che NON si tratta di una violazione dei sistemi di Steam.
Stiamo ancora indagando sull’origine della fuga di notizie, aggravata dal fatto che i messaggi SMS non sono criptati durante il transito e vengono instradati attraverso diversi provider fino al telefono.
Il leak consisteva in vecchi messaggi di testo che includevano codici monouso validi solo per 15 minuti e i numeri di telefono a cui erano stati inviati. I dati trapelati non associavano i numeri di telefono a un account Steam, a informazioni sulla password, a informazioni sui pagamenti o ad altri dati personali. I vecchi messaggi di testo non possono essere utilizzati per violare la sicurezza del vostro account Steam e ogni volta che viene utilizzato un codice per modificare l’e-mail o la password di Steam tramite SMS, riceverete una conferma tramite e-mail e/o messaggi sicuri di Steam.
Non è necessario modificare le password o i numeri di telefono a seguito di questo evento. È bene ricordare di considerare sospetti tutti i messaggi di sicurezza dell’account che non sono stati esplicitamente richiesti. Vi consigliamo di controllare regolarmente la sicurezza del vostro account Steam in qualsiasi momento all’indirizzo: https://store.steampowered.com/account/authorizeddevices
Se non l’avete ancora fatto, vi consigliamo di utilizzare Steam Mobile Authenticator, che offre il modo migliore per inviare messaggi sicuri sul vostro account e sulla sua sicurezza“.
In sintesi le password finite in rete di cui si parla sarebbero le cosiddette OTP (One Time Password), codici di verifica temporanei che servono per verificare l’identità dell’utente quando si effettua un nuovo accesso. Questi messaggi vengono inviati via SMS non criptato attraverso i vari provider telefonici. Ma non contengono alcun altro dato se non il numero telefonico e la OTP.
Ad ogni modo vi suggeriamo di mettere in atto le pratiche di sicurezza suggerite da Valve negli ultimi due paragrafi del suo comunicato.
Fonte: Steam
