A Twilio, conhecida empresa de comunicações na nuvem, veio a público negar qualquer falha de segurança nos seus sistemas. Esta declaração surge em resposta a alegações de um agente de ameaças que afirma ter na sua posse dados de mais de 89 milhões de utilizadores da plataforma Steam, incluindo códigos de acesso único.
O que se passou? Um hacker diz ter um tesouro digital
Um indivíduo, operando sob o pseudónimo Machine1337 (também conhecido como EnergyWeaponsUser), anunciou a venda de um vasto conjunto de dados que alega ter sido extraído da Steam. O preço pedido por esta informação, que supostamente inclui detalhes de milhões de contas e códigos SMS de utilização única, é de 5.000 dólares.
O site especializado em cibersegurança, BleepingComputer, teve acesso a uma amostra contendo 3.000 registos. A análise revelou mensagens SMS históricas com códigos de acesso único para a Steam, acompanhadas dos respetivos números de telemóvel dos destinatários.
A Steam, propriedade da Valve Corporation, é a maior plataforma de distribuição digital de videojogos para PC a nível mundial, contando com mais de 120 milhões de utilizadores ativos mensalmente. Até ao momento, a Valve não emitiu qualquer comentário sobre as alegações do hacker.
A teoria da conspiração: Uma falha na cadeia de fornecimento?
MellolwOnline1, um jornalista independente focado em videojogos e criador do grupo comunitário SteamSentinels – que monitoriza abusos e fraudes no ecossistema Steam – levantou a hipótese de um ataque à cadeia de fornecimento que envolveria a Twilio.
Segundo MellolwOnline1, existem evidências técnicas nos dados divulgados que apontam para registos de SMS em tempo real provenientes dos sistemas backend da Twilio. Isto poderia sugerir o comprometimento de uma conta de administrador ou o abuso de chaves API da empresa de comunicações. A Twilio fornece APIs para envio de SMS, chamadas de voz e mensagens de autenticação de dois fatores (2FA), sendo amplamente utilizada por aplicações como a Steam para autenticação de utilizadores.
A resposta da Twilio: Investigação e negação categórica
Confrontada pelo BleepingComputer sobre o seu possível envolvimento na alegada brecha da Steam, a Twilio inicialmente reconheceu a situação e confirmou que estava a investigar. Um porta-voz da empresa afirmou: "A Twilio leva estas ameaças muito a sério e está a analisar o alegado incidente. Forneceremos mais informações assim que estiverem disponíveis."
Posteriormente, a Twilio emitiu uma nova declaração, clarificando que os seus sistemas não foram comprometidos. "Não há evidências que sugiram que a Twilio foi hackeada. Analisámos uma amostra dos dados encontrados online e não vemos qualquer indicação de que estes dados tenham sido obtidos da Twilio," assegurou o porta-voz.
De onde vieram os dados, então?
Com a Twilio a negar qualquer falha, uma das explicações possíveis para a origem dos dados é uma fuga de informação num fornecedor de serviços SMS que atue como intermediário na comunicação dos códigos de acesso único entre a Twilio e os utilizadores da Steam. Algumas das mensagens analisadas são claramente códigos de confirmação para aceder a uma conta Steam ou para associar um número de telemóvel a uma.
No entanto, o BleepingComputer não conseguiu determinar se os dados provêm efetivamente de um fornecedor de SMS nem identificar qual poderia ser. Adicionalmente, não foi possível verificar de forma independente as alegações do hacker. É de notar que parte da informação é relativamente recente, com muitas das datas de entrega a remontarem ao início de março deste ano (2025).
Recomendações: Mantenha a sua conta Steam segura
A Twilio disponibiliza um produto de autenticação de dois fatores denominado Verify API, que clientes, incluindo fornecedores de jogos, podem implementar através de vários canais de comunicação (SMS, WhatsApp, voz, email, passkeys, aprovação silenciosa de dispositivos, notificações push ou palavras-passe de uso único baseadas no tempo).
Por uma questão de precaução, recomenda-se vivamente que os utilizadores da Steam tomem as seguintes medidas para reforçar a segurança das suas contas:
- Ativem o Steam Guard Mobile Authenticator. Esta funcionalidade adiciona uma camada extra de segurança.
- Monitorizem regularmente a atividade da conta para detetar quaisquer tentativas de login não autorizadas.
Nenhum comentário
Seja o primeiro!