Steam驗證服務商遭黑客入侵，可能導致數據泄露

爲 Steam 提供雙重驗證服務的通信巨頭 Twilio 遭遇史上最嚴重數據泄露，包含數百萬玩家的短信驗證碼、手機號、時間戳等敏感信息被黑客打包出售，相當於直接給 Steam 賬號的安全鎖開了個後門！

5月12日，獨立安全研究員 Mellow_Online1 在暗網監測到一個名爲 "SteamAuthDump" 的數據庫正在以0.5比特幣（約合1.2萬元人民幣）的價格叫賣，包含超過300萬條短信驗證記錄，覆蓋2023年至今的關鍵數據。泄露內容不僅包含完整的兩步驗證碼、發送狀態（是否成功送達），甚至精確到毫秒級的時間戳和接收者手機號。黑客通過分析這些數據，能精準還原用戶的登錄時間、常用設備，甚至推算出賬號密碼規律。

這相當於把你家保險櫃的密碼本放在了小區公告欄。 CyberGuardian 在直播中演示：利用泄露的時間戳和驗證碼，配合社工庫中的手機號關聯信息，攻擊者可以在用戶登錄時同步攔截驗證碼，實現數秒盜號。實測顯示，整個攻擊過程只需17秒，成功率高達89%。

事件曝光後，Twilio 僅在官網發佈了一則輕描淡寫的聲明，承認部分客戶數據可能被訪問，但拒絕透露具體受影響用戶數量和數據類型。Steam 客服陷入踢皮球怪圈：既不確認事件真實性，也不提供賬號風險檢測工具，僅機械重複建議啓用 Steam 令牌。更諷刺的是，Steam 的 2FA 系統本身就依賴 Twilio 的短信服務，用漏洞保護漏洞。

CyberSlayer 曬出的聊天記錄顯示，他在5月10日收到的驗證碼竟與泄露數據庫中的一條記錄完全匹配。事件曝光後24小時內，Steam 支持論壇新增超1.2萬條盜號投訴，涉及損失金額超300萬美元。