Утечка из Steam — урок по защите данных на всех этапах

Накануне компания Valve, разработчик Steam, подтвердила утечку данных, но заявила, что она ограничена устаревшими SMS-сообщениями с одноразовыми кодами, срок действия которых истекает через 15 минут. Ранее в сети появилась информация о продаже 89 миллионов строк данных сервиса, включая номера телефонов и SMS-коды.

Ирина Дмитриева, киберэксперт и инженер-аналитик лаборатории исследований кибербезопасности компании «Газинформсервис», рассказала, что инцидент подчёркивает важность защиты данных на всех этапах их жизненного цикла. Даже если сама компания надёжно защищена, уязвимости у подрядчиков могут стать причиной серьёзных инцидентов.

Анализ показал, что данные, выставленные хакером Machine1337, содержали устаревшие одноразовые коды, не дающие доступ к аккаунтам, но потенциально опасные для фишинга. По словам представителей компании, «данные не позволяют определить аккаунт, пароль, платёжную информацию и другие личные данные пользователей Steam по номеру телефона».

«Расследование фактов компрометации контрагентов Valve исключило причастность Twilio, поставщика PaaS, сосредоточившись на возможной уязвимости SMS-провайдера, через который сообщения передавались в незашифрованном виде. Valve рекомендует пользователям активировать Steam Mobile Authenticator и проверять авторизованные устройства, подчёркивая, что смена паролей не требуется. Инцидент демонстрирует риски незащищённых каналов передачи данных и зависимость от цепочки поставок сервисных услуг для компаний. Инцидент подчёркивает важность защиты данных на всех этапах их жизненного цикла. Для предотвращения подобных случаев компаниям стоит внедрять сквозное шифрование, держать на контроле вопрос по аудитам защищённости контрагентов и использовать защищённые СУБД, такие как Jatoba компании "Газинформсервис", обеспечивающие безопасное хранение и обработку конфиденциальной информации. Это снизит угрозы даже при компрометации внешних систем», - сказала Ирина Дмитриева.