Nelle ultime ore è emersa una notizia allarmante per gli utenti di Steam, la popolare piattaforma di distribuzione digitale per videogiochi su PC: un data breach1 . Un presunto hacker ha messo in vendita su un forum del Dark Web un archivio contenente dati relativi a 89 milioni di account. Si tratta di una cifra impressionante, pari a circa un terzo degli utenti registrati sulla piattaforma di Valve.
Un data leak da 5.000 dollari: realtà o truffa?
Il presunto hacker ha chiesto 5.000 dollari per l’intero archivio, un prezzo sorprendentemente basso per un volume di dati così vasto. Come da prassi, per rendere credibile la proposta, è stato fornito un campione del dataset a scopo dimostrativo. Tuttavia, al momento non è chiaro quali siano i dati effettivamente compromessi, né se si tratti di un reale data breach o di una potenziale truffa ben orchestrata.
Il coinvolgimento (SMENTITO) di Twilio
Un’analisi preliminare dei dati effettuata da un esperto di sicurezza ha individuato tracce che rimanderebbero a Twilio, azienda nota per i suoi servizi di autenticazione a due fattori (2FA). L’ipotesi è che non sia stata compromessa direttamente Valve, ma piuttosto una società partner secondaria. Si tratta di uno scenario già visto in passato in altri casi di violazione della sicurezza.
Tuttavia, Twilio ha smentito ogni coinvolgimento: dopo un’analisi interna, l’azienda ha dichiarato di non aver riscontrato evidenze che facciano pensare a un furto di dati dai propri sistemi. Anche Valve ha confermato di non avere Twilio tra i propri partner ufficiali.
Cosa contengono i dati rubati?
Secondo quanto emerso, nel dataset sono presenti numerosi codici di conferma temporanei (OTP) usati nei processi di verifica 2FA, alcuni dei quali risalenti a marzo 2025, quindi piuttosto recenti. Questo elemento suggerisce che il database, autentico o meno, è stato aggiornato in tempi recenti.
Non è ancora chiaro se tra i dati sottratti ci siano anche password o informazioni sensibili, ma il basso valore economico richiesto per l’intero archivio fa pensare che l’impatto potenziale del leak sia limitato. Tuttavia, in assenza di certezze, è opportuno mantenere un approccio prudente.
Cosa devono fare gli utenti?
In attesa di chiarimenti ufficiali da parte di Valve, che ha dichiarato di essere al lavoro per verificare la veridicità dell’accaduto, è consigliabile effettuare un cambio della password di Steam, specialmente se non viene aggiornata da tempo. Un’azione di manutenzione periodica delle credenziali è sempre una buona prassi in termini di cybersecurity.
A proposito di sicurezza informatica, hai letto dello Spyware mercenario su iPhone?
Se vuoi restare aggiornato sul mondo della tecnologia seguici sui nostri social (oltre che sul blog) e da smartphone tramite il nostro canale Telegram, oppure il nuovissimo canale Whatsapp, in modo da ricevere una notifica ogni volta che viene pubblicato un articolo, o se abbiamo qualcosa in più da comunicare. #ètempoditecnologia
- Un data breach, o violazione di dati, è un incidente in cui informazioni sensibili vengono rese accessibili, esposte o sottratte da soggetti non autorizzati, ↩︎
