一家可疑的人工智能公司试图炮制虚假的Steam平台数据泄露事件,其编造的谎言很快被戳穿。虽然这次是伪造的,但下一次可能就真假难辨了。以下是如何保护可能价值数千元人民币(约合数百美元)的账户免遭劫持的指南。
近日领英(LinkedIn)上有人声称,包含8900万Steam账户记录的数据库正在暗网以人民币36350元(5000美元)的价格出售,其中甚至包含用于双重认证(2FA)的一次性验证码(OTPs)。对于如此大规模的泄露而言,这个价格低得反常。
虽然这个惊人数字引发网络转发热潮,但所谓证据完全是捏造的。值得庆幸的是,苹果用户现在可以通过内置的“密码”应用,在iPhone、iPad和Mac设备上统一管理双重认证码。
云通讯服务商Twilio断然否认与该事件有关。最初炒作这则消息的网络安全小公司Underdark AI在领英发文称,黑客“Machine1337”在某暗网论坛兜售数据,据称涉及数百万Steam用户的2FA验证码、电话号码和时间戳。倘若属实确实令人担忧——但Twilio明确表示与此无关,况且Steam根本未使用其服务。
数据样本本身也漏洞百出:包含格式雷同的过期短信,缺乏应有的登录令牌、账户ID或元数据;多条记录重复出现,时间戳毫无规律,明显是拼凑过往泄露数据而成。安全研究人员指出,这些数据与Steam发送双重验证码的方式根本不符。目前也没有任何官方渠道或权威威胁情报机构证实存在入侵事件。
Steam通过邮件向咨询者发表声明,坚决否认系统遭入侵。声明强调:泄露的仅是已失效的15分钟时效验证码及对应手机号,未关联账户密码、支付信息等敏感数据;旧短信无法用于入侵账户,且任何通过短信修改邮箱或密码的操作都会触发邮件/Secure消息确认;用户无需因此事件修改密码或手机号。
这场闹剧再次印证了双重认证的重要性。2FA要求登录时额外输入设备应用或短信生成的时效验证码,即使攻击者获取密码也难以得逞。最安全的当属应用验证方案——苹果内置密码应用、Steam Guard、谷歌身份验证器等直接在设备端生成验证码,规避了短信传输风险。虽然短信验证聊胜于无,但更容易遭受钓鱼攻击和SIM卡劫持。
无需为这起虚假的Steam数据泄露恐慌,但不妨将其视为启用应用双重认证的契机。
