Η Twilio αρνήθηκε, σε δήλωσή της στο BleepingComputer, ότι υπέστη παραβίαση, έπειτα από ισχυρισμούς ενός κυβερνοεγκληματία ότι διαθέτει πάνω από 89 εκατομμύρια αρχεία χρηστών του Steam με κωδικούς μίας χρήσης.
Δείτε επίσης: Marks & Spencer: Η κυβερνοεπίθεση οδήγησε σε παραβίαση δεδομένων
Ο δράστης, που χρησιμοποιεί το ψευδώνυμο Machine1337 (γνωστός και ως EnergyWeaponsUser), διαφήμιζε ένα μεγάλο σύνολο δεδομένων που υποτίθεται ότι αποσπάστηκαν από το Steam, προσφέροντάς το προς πώληση έναντι 5.000 δολαρίων.
Κατά την εξέταση των αρχείων, τα οποία περιλάμβαναν 3.000 εγγραφές, το BleepingComputer εντόπισε μηνύματα SMS με κωδικούς μιας χρήσης για το Steam, περιλαμβάνοντας και τον αριθμό τηλεφώνου του παραλήπτη.
Η Steam, που ανήκει στην εταιρεία Valve Corporation, αποτελεί τη μεγαλύτερη πλατφόρμα ψηφιακής διανομής παιχνιδιών για υπολογιστές παγκοσμίως, με πάνω από 120 εκατομμύρια ενεργούς χρήστες κάθε μήνα. Η Valve δεν απάντησε στα αιτήματα για σχολιασμό σχετικά με τους ισχυρισμούς του κυβερνοεγκληματία.
Ο ανεξάρτητος δημοσιογράφος για θέματα gaming, MellowOnline1, ο οποίος είναι και δημιουργός της κοινότητας SteamSentinels που παρακολουθεί καταχρήσεις και απάτες στο οικοσύστημα του Steam, εκτιμά ότι πρόκειται για παραβίαση στην εφοδιαστική αλυσίδα, με εμπλοκή της Twilio.
Δείτε ακόμα: 437.000 επηρεάζονται από την παραβίαση της Ascension Health
Ο MellowOnline1 υπέδειξε τεχνικά στοιχεία μέσα στα δεδομένα, τα οποία φαίνεται να περιλαμβάνουν καταγραφές SMS σε πραγματικό χρόνο από τα συστήματα back-end της Twilio, υποθέτοντας πιθανή παραβίαση λογαριασμού διαχειριστή ή κατάχρηση API κλειδιών.
Η Twilio είναι μια εταιρεία cloud επικοινωνιών που παρέχει APIs για αποστολή SMS, φωνητικών κλήσεων και μηνυμάτων ταυτοποίησης δύο παραγόντων (2FA) και χρησιμοποιείται ευρέως από εφαρμογές όπως το Steam για την αυθεντικοποίηση χρηστών. Αργότερα, η Twilio προχώρησε σε διευκρινιστική δήλωση, τονίζοντας ότι τα συστήματα της εταιρείας δεν υπέστησαν παραβίαση.
Εξετάζοντας τα δεδομένα, μια πιθανή εξήγηση για την προέλευσή τους είναι διαρροή από πάροχο SMS που λειτουργεί ως μεσάζων για την επικοινωνία των κωδικών πρόσβασης μίας χρήσης μεταξύ της Twilio και των χρηστών του Steam.
Ορισμένα από τα μηνύματα που έχουν παραδοθεί φαίνεται ξεκάθαρα ότι είναι κωδικοί επιβεβαίωσης για την πρόσβαση σε λογαριασμό Steam ή για τη σύνδεση τηλεφωνικού αριθμού με αυτόν. Η Twilio προσφέρει ένα προϊόν αυθεντικοποίησης δύο παραγόντων με την ονομασία Verify API, το οποίο μπορούν να ενσωματώσουν πελάτες – ανάμεσά τους και πάροχοι παιχνιδιών – μέσα από διάφορα κανάλια επικοινωνίας (SMS, WhatsApp, φωνητικές κλήσεις, email, passkeys, σιωπηρή επιβεβαίωση συσκευής, push ειδοποιήσεις ή κωδικούς μίας χρήσης με χρονική βάση).
Δείτε επίσης: Η Ledger ασφαλίζει Discord server μετά την παραβίαση ενός moderator account
Βάσει των παραπάνω, το περιστατικό φαίνεται να αναδεικνύει τους κινδύνους που σχετίζονται με την εφοδιαστική αλυσίδα στις ψηφιακές υπηρεσίες, ειδικά όταν εμπλέκονται τρίτοι πάροχοι όπως η Twilio για κρίσιμες λειτουργίες ασφαλείας, όπως η αποστολή κωδικών 2FA. Ακόμα κι αν η Twilio επιμένει ότι τα δικά της συστήματα δεν παραβιάστηκαν, η πιθανότητα διαρροής μέσω ενδιάμεσου παρόχου SMS δείχνει ότι ακόμα και μια φαινομενικά ασφαλής υποδομή μπορεί να είναι ευάλωτη, αν κάποιο κομμάτι της αλυσίδας παραβιαστεί.
Πηγή: bleepingcomputer
