Bezpieczeństwo cyfrowe graczy ponownie zostało wystawione na próbę. Jeśli korzystasz ze Steam, nadszedł najwyższy czas, aby zmienić swoje hasło. Dlaczego?
Powód jest taki: bo ktoś właśnie wystawił bazę danych 89 milionów kont użytkowników Steam na sprzedaż. Za jedyne 5000 dolarów. To mniej niż kosztuje używany motocykl, a dużo więcej niż kosztuje Twoje bezpieczeństwo online.
Co się wydarzyło?
Zaczęło się od informacji opublikowanej przez firmę Underdark AI, która trafiła na podejrzane ogłoszenie od użytkownika o pseudonimie Machine1337. Ogłoszenie pojawiło się na forum działającym w tzw. dark webie, czyli tej cyfrowej dzielnicy, do której normalni ludzie raczej nie zaglądają, chyba że zgubią się w internecie. W skrócie: ktoś oferuje sprzedaż danych kont Steam w liczbie 89 milionów sztuk. Kupujesz raz, dostajesz całą bibliotekę ludzi z całego świata. Brzmi kiepsko, prawda?
Cała sytuacja została nagłośniona przez użytkownika MellowOnline1, który opisał ją na platformie X (dawniej Twitter). Dalej już poszło z górki – sprawą zainteresowali się specjaliści ds. bezpieczeństwa, a użytkownicy Steam zaczęli się denerwować, jakby zobaczyli „-90%” na swojej ulubionej grze i zapomnieli portfela.
Skąd te dane?
I tu wchodzi ulubiony moment każdej historii o wyciekach: nikt nie wie, skąd to wszystko w ogóle wzięło się w internecie. Niektórzy wskazywali palcem na Valve, właściciela Steam, ale nie ma żadnych twardych dowodów, że źródłem był ich system. Pojawiły się nawet pogłoski, że to może Twilio – firma zajmująca się obsługą 2FA – miała lukę w zabezpieczeniach. Tyle że Valve od razu odparło ten pomysł, mówiąc wprost: „Nie używamy Twilio. Nigdy.” No i koniec dyskusji.
Więc nie wiadomo. Może to zewnętrzna usługa, może phishing, może złośliwe oprogramowanie, a może ktoś postanowił zarchiwizować cudze życie cyfrowe i teraz chce się tego pozbyć.
Co dokładnie wyciekło?
No właśnie – nie wiadomo. Nie ma listy plików, nie ma przykładowych danych, nie wiemy, czy zawierają hasła, dane płatnicze czy tylko loginy i e-maile. Ale nawet jeśli to tylko adresy e-mail, to i tak można z nimi sporo zdziałać. Cyberprzestępcy uwielbiają takie sytuacje, bo mogą rozsyłać wiadomości phishingowe, które wyglądają na wiarygodne, a potem łowić nieostrożnych użytkowników jak ryby w jeziorze pełnym nieaktualnych haseł.
Co powinieneś teraz zrobić? (czytaj: zrób to teraz)
- Zmień hasło do Steam. Na coś nowego, silnego i oryginalnego. Nie używaj tego samego co do Netflixa, banku i forum o akwarystyce. To powinno być coś, czego nikt nie zgadnie, nawet jeśli zna Twojego psa i datę Twoich urodzin.
- Włącz Steam Guard. To dodatkowe zabezpieczenie, które wymaga potwierdzenia logowania z nowego urządzenia. Masz to w aplikacji mobilnej albo przez e-mail. Działa. Pomaga. Nie kosztuje nic.
- Unikaj dziwnych wiadomości. Jeśli dostaniesz e-mail, że wygrałeś grę albo że Twoje konto wymaga „natychmiastowego działania”, to nie klikaj. Nawet jeśli wygląda jak od Steam, to może być pułapka. A nie jesteśmy na rybach.
- Sprawdź, czy Twoje dane wyciekły. Istnieją serwisy, które pozwalają to sprawdzić. Możesz tam wpisać swój e-mail i zobaczyć, czy gdzieś się pojawił. Jeśli tak – zmień hasła też gdzie indziej.
Czy trzeba panikować?
Nie, ale trzeba działać. Jeśli jesteś jednym z tych 89 milionów użytkowników, a nie masz żadnych dodatkowych zabezpieczeń, to tak jakbyś trzymał klucze do domu na wycieraczce i liczył, że nikt ich nie zauważy. Nawet jeśli masz 2FA, nadal warto zaktualizować hasło. Tylko nie czekaj. Bo jak już Twoje konto zostanie przejęte i wszystkie gry znikną, to wtedy będzie za późno.
