Twilioは、脅威行為者がワンタイムアクセスコードで8,900万人以上のSteamユーザーレコードを保持していると主張した後、同社が侵害されたことを声明で否定した。
脅威行為者は、Machine1337(EnergyWeaponsUserとしても知られる)という偽名を使い、Steamから引き出したとされるデータの宝庫を宣伝し、5,000ドルで販売すると持ちかけていた。
3,000件のレコードを含む流出ファイルを調査したところ、受信者の電話番号を含むSteam用のワンタイムパスコードが記載された歴史的なSMSテキストメッセージが見つかりました。
.jpg)
ソースは こちら:
Valve Corporation が所有する Steam は、PC ゲームの世界最大のデジタル配信プラットフォームであり、月間アクティブユーザー数は 1 億 2000 万人を超えています。
Valveは、脅威行為者の主張についてコメントを求めたところ、回答しませんでした。
独立系ゲーム・ジャーナリストのMellolwOnline1氏は、Steamエコシステムにおける不正使用や詐欺を監視するコミュニティ・グループ「SteamSentinels」の創設者でもあり、今回の事件はTwilioが関与したサプライチェーンの侵害であると指摘している。
MellowOnline1は、TwilioのバックエンドシステムからのリアルタイムのSMSログエントリを示す流出データの技術的証拠を指摘し、侵害された管理者アカウントまたはAPIキーの悪用を仮定している。
Twilioは、SMS、音声通話、2FAメッセージを送信するためのAPIを提供するクラウド通信会社で、Steamなどのアプリでユーザー認証に広く利用されている。
Twilioの広報担当者は、Steamの情報漏洩疑惑に関与している可能性について質問され、状況を認め、調査中であることを確認した。
Twilioはこのような脅威を非常に深刻に受け止めており、この疑惑の件について検討しています。詳しい情報が入り次第、お伝えします」と同社の広報担当者は述べた。
Twilioはその後、同社のシステムが侵害されていないことを明らかにする声明を発表した。
「Twilioが侵害されたことを示す証拠はありません。オンラインで発見されたデータの一部を確認しましたが、このデータがTwilioから入手された形跡は見当たりません。”- Twilioの広報担当者
データを見てみると、その出所として考えられるのは、TwilioとSteamユーザー間のワンタイムアクセスコードの通信を仲介しているSMSプロバイダーからの流出である。
配信されたメッセージの中には、明らかにSteamアカウントにアクセスするための確認コードや、電話番号を関連付けるためのコードが含まれている。
しかし、そのデータがSMSプロバイダーからのものなのか、またそのプロバイダーが誰なのかは特定できませんでした。さらに、脅威行為者の主張を確認することもできませんでした。
配信日の多くが3月初旬のものであったことから、データの一部が比較的新しいものであることは特筆に値する。
TwilioはVerify APIと呼ばれる二要素認証(2FA)製品を提供しており、顧客(その中のゲームプロバイダー)は様々な通信チャネル(SMS、WhatsApp、音声、電子メール、パスキー、サイレントデバイス承認、プッシュ、または時間ベースのワンタイムパスワード)で実装することができます。
万全を期すため、Steam ユーザーは、セキュリティを強化するためにSteam Guard モバイル認証機能を有効にし、不正なログイン試行が行われていないかアカウントのアクティビティを監視することをお勧めします。
.ia_ad { background-color:#width: 95%; max-width: 800px; margin: 15px auto; border-radius: 8px; border:1px solid #d6ddee; display: flex; align-items: stretch; padding: 0; overflow: hidden; }:0; overflow: hidden; } .ia_lef { flex: 1; max-width: 200px; height: auto; display: flex; align-items: stretch; } .ia_lef a { display: flex; width: 100%; height: 100%; } .ia_lef a img { width: 100%; height: 100%; object-fit: cover; border-radius: 8px 0 0 8px; margin: 0; display: block; } .ia_rig { flex: 2; padding:display: flex; flex-direction: column; justify-content: center; } .ia_rig h2 { font-size: 17px !important; font-weight: 700; color:#line-height: 1.4; font-family:margin: 0 0 14px 0; } .ia_rig p { font-weight: bold; font-size: 14px; margin: 0 0 clamp(6px, 2vw, 14px) 0; } .ia_button { background-color:#border:1px solid #3b59aa; color: black; text-align: center; text-decoration: none; border-radius: 8px; display: inline-block; font-size: 16px; font-weight: bold; cursor: pointer; padding:10px 20px; width: fit-content; } .ia_button a { text-decoration: none; color: inherit; display: block; } @media (max-width: 600px) { .ia_ad { flex-direction: column; align-items: center; text-align: center; } .ia_lef { max-width: 100%; } .ia_lef a img { border-radius: 8px 8px 0 0; } .ia_rig { padding:15px; width: 100%; } .ia_button { width: 100%; } .
攻撃の93%を支えるMITRE ATT&CK©テクニック・トップ10
1,400万件の悪意のあるアクションの分析に基づき、攻撃の93%を支えるMITRE ATT&CKテクニックのトップ10とその防御方法をご覧ください。
Comments