Kyberbezpečnostní komunita je v pohotovosti. Na podzemním hackerském fóru se objevil inzerát, který nelze brát na lehkou váhu. Útočník známý jako EnergyWeaponUser nabízí údajnou databázi s daty více než 89 milionů uživatelů herní platformy Steam. Jde o citlivé informace – včetně telefonních čísel a jednorázových 2FA kódů zasílaných přes SMS. Pokud jsou data pravá, může jít o jeden z největších úniků autentizačních údajů v herním světě.

Steam jako terč: platforma s miliony aktivních hráčů

Steam, vyvíjený společností Valve, je jednou z největších digitálních distribučních platforem her. Každý měsíc jej aktivně používá přes 130 milionů lidí z celého světa. Účty na Steamu bývají často propojené s e-maily, telefonními čísly a platebními metodami. Proto jsou velmi lákavým cílem pro útočníky.

Databáze, kterou nyní nabízí hacker na černém trhu za cenu 5 000 dolarů, údajně obsahuje historické SMS zprávy s jednorázovými přístupovými kódy, které slouží ke dvoufázovému ověření přihlášení do Steamu. Spolu s nimi jsou uvedena i telefonní čísla uživatelů. To otevírá dveře k převzetí účtů, phishingovým útokům nebo sociálnímu inženýrství.

Kdo za tím stojí? Známý pachatel s nebezpečnou pověstí

Jméno EnergyWeaponUser není v kybernetických kruzích neznámé. Tento hacker má za sebou řadu dřívějších útoků, při kterých se dostal k datům firem jako Cisco, Ford nebo Hewlett Packard Enterprise. A i když není možné pravost jeho nové databáze okamžitě ověřit, jeho pověst naznačuje, že je třeba brát hrozbu vážně.

Nejde o anonyma bez minulosti – právě naopak. Jeho předchozí úspěchy svědčí o tom, že nejde o plané výkřiky do tmy. Pokud se ukáže, že data opravdu pocházejí z reálných SMS zpráv, půjde o vážný problém nejen pro Valve, ale i pro poskytovatele služeb, které 2FA zprávy zajišťují.

Twilio na pranýři, ale odpovědnost odmítá

Okamžitě po zveřejnění inzerátu se začalo spekulovat o původu uniklých dat. Mezi hlavní podezřelé se dostala společnost Twilio – významný poskytovatel cloudových komunikačních služeb. Twilio dodává rozhraní pro zasílání SMS zpráv, hlasových hovorů a dalších komunikačních funkcí. Jejich služby využívá řada firem po celém světě, včetně těch, které implementují dvoufaktorové ověřování.

Právě zde mohla vzniknout slabina. Mnozí se domnívají, že nešlo o přímý útok na Steam nebo Valve, ale o útok na dodavatelský řetězec – tedy zneužití slabšího článku mezi uživatelem a cílovou platformou.

Twilio však jakoukoliv vinu odmítá. Mluvčí firmy pro BleepingComputer uvedl, že „nenašli žádné důkazy o narušení bezpečnosti“ a že zkontrolovali část uniklých dat, přičemž „nevidí indicie, že by pocházela od nich“.

Zdroj: Shutterstock

Zásadní roli mohl sehrát i mezistupeň – neznámý poskytovatel SMS

Pokud Twilio skutečně zůstalo nedotčeno, je tu další možnost: útok na některého z prostředníků, kteří fyzicky zajišťují doručení SMS zpráv. Tito tzv. SMS agregátoři fungují v pozadí a běžný uživatel o jejich existenci často ani neví. Přitom právě u nich může být zabezpečení méně robustní a kontrola nad daty slabší.

V tuto chvíli není známo, zda se jedná o izolovaný incident, nebo součást většího útoku. Valve zatím nezveřejnilo žádné oficiální stanovisko, což je v podobných případech běžné – firmy obvykle nejdříve provádějí interní šetření, aby předešly dezinformacím.

Důsledky: riziko přístupu k účtům i identitě uživatelů

Pokud se informace potvrdí, následky budou dalekosáhlé. Únik telefonních čísel a jednorázových 2FA kódů může vést k převzetí účtů – zejména pokud útočník dokáže zprávu zachytit v okamžiku přihlášení. Mnohem zákeřnější však může být cílený phishing: uživatel, který dostane falešnou zprávu z „podpory Steamu“ doplněnou o důvěryhodné údaje, bude snáze manipulovatelný.

Steam uživatelům doporučuje aktivovat Steam Guard Mobile Authenticator, sledovat aktivitu na účtu a v případě podezření provést okamžitou změnu hesla. Ti, kdo používají výhradně SMS pro přihlášení, by měli zvážit přechod na ověřovací aplikace typu Google Authenticator nebo Authy, které jsou odolnější vůči zachycení.