Ein angebliches Datenleck bei der Spieleplattform Steam soll 89 Millionen Datensätze enthalten – ein Unbekannter versucht seit vergangenem Samstag, sie im Darknet für 5.000 US-Dollar zu verkaufen. Doch die Resonanz ist mau und die Brisanz der Daten fraglich.
Im Darknet kursieren immer wieder Daten aus Angriffen gegen Spielepublisher und Vertriebsplattformen. Besonders begehrt: Marktführer Steam, der über 130 Millionen Kunden vorweisen kann. Neben Kreditkarten- oder Paypal-Zahlungsinformationen gibt es für Kriminelle in Steam-Konten auch virtuelle Sammelgegenstände zu erbeuten, die erkleckliche Summen einbringen können. Das Verkaufsangebot des Nutzers "Machine1337" in einem einschlägigen Forum sorgte daher schnell für Aufregung im Clearweb: 89 Millionen Datensätze wollte er erbeutet haben und nun für 5.000 Dollar verkaufen.
Auf Darknet-Marktplätzen steht das Wort "Datensatz" (engl. Record) oft für einzelne Datenzeilen, nicht jedoch für unterschiedliche Konten. So auch hier: Was Machine1337 feilbietet, sind offenbar Protokolle des Versands von Zwei-Faktor-SMS an Steam-Nutzer. In einer dreitausend Zeilen umfassenden Testdatei finden sich etwa 1.800 verschiedene portugiesische Rufnummern sowie Metadaten über den Versand, dessen Kosten und der Text der versendeten SMS. Die Authentizität der Daten lässt sich nicht unabhängig überprüfen, auf den ersten Blick sieht die Datei jedoch plausibel aus.
Fein säuberlich inklusive Sortiermöglichkeit: Im Excel finden sich SMS-Codes und Rufnummern, jedoch keine Zugangsdaten.
(Bild: heise security)
Die Reaktionen im Forum fallen demnach auch eher unterwältigt aus: "Es gab viel Hype, aber tatsächlich war es nur ein Sturm im Wasserglas" (das russische Idiom "пук в лужу" bedeutet wörtlich etwa "ein Furz in einer Pfütze"), lautet eine Meinung.
Der Datensatz enthält Rufnummern und (abgelaufene) Einmal-Codes, jedoch keine Hinweise auf Zugangsdaten wie Benutzername, Steam-ID oder gar Passwort-Hashes. Ob Steam-Kunden nun vorsichtshalber ihre Passwörter ändern oder die Sicherheitsapp "Steam Guard" installieren sollten, scheint zumindest fragwürdig.
Wer jedoch in der jüngeren Vergangenheit – die Daten stammen teilweise aus dem März 2025 – SMS-Codes als zweiten Faktor zur Anmeldung bei Steam genutzt hat, sollte sich Textnachrichten auf dem betroffenen Mobilgerät künftig noch genauer anschauen. Cyberkriminelle könnten die erbeuteten Telefonnummern nutzen, um überzeugende Phishing-Kampagnen aufzusetzen, die mit Steam-Gutscheinen winken oder mit Kontensperrung drohen.
Die Daten stammen offenbar aus dem SMS-Versand über den Dienstleister Twilio, der jedoch gegenüber Bleeping Computer einen Sicherheitsvorfall dementierte. Auch Steam-Betreiberin Valve dementierte, und zwar in Bausch und Bogen eine Zusammenarbeit mit Twilio. Möglicherweise kamen die Übertragungsprotokolle bei einem Dienstleister abhanden.
Steam ist einer der größten Marktplätze für PC-Spiele, doch erwerben Kunden lediglich ein Nutzungsrecht, das erlischt, wenn etwa das Steam-Konto gelöscht oder gehackt wird. Wie man PC-Spiele auf anderen Downloadplattformen erwirbt und für immer behalten kann, erklären wir in einem c't-Artikel.
(
Kommentare