Steam验证服务商遭黑客入侵，可能导致数据泄露

为 Steam 提供双重验证服务的通信巨头 Twilio 遭遇史上最严重数据泄露，包含数百万玩家的短信验证码、手机号、时间戳等敏感信息被黑客打包出售，相当于直接给 Steam 账号的安全锁开了个后门！

5月12日，独立安全研究员 Mellow_Online1 在暗网监测到一个名为 "SteamAuthDump" 的数据库正在以0.5比特币（约合1.2万元人民币）的价格叫卖，包含超过300万条短信验证记录，覆盖2023年至今的关键数据。泄露内容不仅包含完整的两步验证码、发送状态（是否成功送达），甚至精确到毫秒级的时间戳和接收者手机号。黑客通过分析这些数据，能精准还原用户的登录时间、常用设备，甚至推算出账号密码规律。

这相当于把你家保险柜的密码本放在了小区公告栏。 CyberGuardian 在直播中演示：利用泄露的时间戳和验证码，配合社工库中的手机号关联信息，攻击者可以在用户登录时同步拦截验证码，实现数秒盗号。实测显示，整个攻击过程只需17秒，成功率高达89%。

事件曝光后，Twilio 仅在官网发布了一则轻描淡写的声明，承认部分客户数据可能被访问，但拒绝透露具体受影响用户数量和数据类型。Steam 客服陷入踢皮球怪圈：既不确认事件真实性，也不提供账号风险检测工具，仅机械重复建议启用 Steam 令牌。更讽刺的是，Steam 的 2FA 系统本身就依赖 Twilio 的短信服务，用漏洞保护漏洞。

CyberSlayer 晒出的聊天记录显示，他在5月10日收到的验证码竟与泄露数据库中的一条记录完全匹配。事件曝光后24小时内，Steam 支持论坛新增超1.2万条盗号投诉，涉及损失金额超300万美元。