A Valve, desenvolvedora da plataforma Steam, respondeu a alegações de um suposto vazamento de dados que poderia envolver mais de 89 milhões de registros de usuários. Em um comunicado oficial publicado na manhã de quinta-feira, dia 15 de maio de 2025, a empresa tentou dissipar os medos gerados por reportagens que circularam nas redes sociais, especialmente no LinkedIn e no X (anteriormente Twitter), afirmando que seus sistemas não foram comprometidos e que não há necessidade de os usuários alterarem suas senhas ou informações pessoais.
As preocupações sobre um possível vazamento começaram quando um usuário do X, conhecido como Mellow_Online1, compartilhou uma advertência acerca de um post no LinkedIn atribuído à Underdark AI, que mencionava um hacker sob o pseudônimo Machine1337. Esse hacker alegava ter acesso a mais de 89 milhões de registros de usuários do Steam, incluindo não apenas nomes de usuário e senhas, mas também dados adicionais, como logs de autenticação em duas etapas (2FA) via SMS. No entanto, detalhes específicos sobre o conteúdo não foram fornecidos.
Diante da crescente especulação, a Underdark AI atualizou suas informações, afirmando que uma amostra vazada continha logs reais de SMS de 2FA, que foram processados via Twilio, uma plataforma de comunicações em nuvem usada por muitas aplicações, incluindo o Steam. Em resposta, um porta-voz da Twilio confirmou que uma investigação está em andamento e afirmou que a empresa leva a sério a situação. Apesar das preocupações, a Twilio também assegurou que não sofreu uma violação de suas próprias informações.
Após a interação com Mellow_Online1, Valve informou que não utiliza os serviços da Twilio, reforçando a segurança de sua infraestrutura. Em seu comunicado, a Valve esclareceu que, embora tenha ocorrido um vazamento, não se tratou de uma violação direta de seus sistemas. Os dados comprometidos consistiam em mensagens de SMS antigas que continham códigos de validação de uso único, que se expiram em 15 minutos. Além disso, a empresa assegurou que os números de telefone comprometedores não estavam associados a contas do Steam, senhas ou informações de pagamento.
A Valve destacou que essas mensagens, que são enviadas aos usuários para verificação de segurança, não permitem a compromissos de contas, uma vez que qualquer alteração feita em um email ou senha que utilize um código SMS também desencadearia uma confirmação por e-mail ou mensagem segura do Steam. A empresa continua investigando a origem do vazamento, observando que mensagens SMS não são criptografadas durante a transmissão e podem ser roteadas através de vários fornecedores de terceiros, o que aumenta o risco de exposição fora da infraestrutura da Steam.
Com isso, a Valve assegurou que os usuários não precisam alterar suas senhas ou números de telefone. Entretanto, a empresa recomendou cautela ao lidar com mensagens de segurança não solicitadas e sugeriu que os usuários revisem os dispositivos autorizados em suas contas para maior tranquilidade. Além disso, a Valve incentiva a adesão ao Steam Mobile Authenticator, que é a forma mais segura de receber mensagens relacionadas à conta e solicitações de verificação.