Steam platformuna ait milyonlarca kısa mesaj kaydı, geçtiğimiz günlerde internet ortamında dolaşıma girdi. Söz konusu mesajlar, kullanıcıların giriş sırasında aldıkları tek kullanımlık doğrulama kodlarını ve bu kodların gönderildiği telefon numaralarını içeriyor. İlk olarak BleepingComputer tarafından duyurulan sızıntı, güvenlik çevrelerinde büyük yankı uyandırdı. Ancak Valve cephesinden yapılan açıklamalar, durumun kullanıcı güvenliğini doğrudan tehdit etmediğini ortaya koyuyor.
Sızdırılan veriler, güncel veya geçerli bilgiler içermiyor. Valve, bu mesajların eski tarihli olduğunu ve her birinin yalnızca 15 dakikalık bir geçerlilik süresine sahip olduğunu belirtti. Ek olarak, telefon numaraları ile kullanıcı hesapları arasında doğrudan bir eşleştirme bulunmaması, olayın etkisini sınırlı kılıyor. Bu tür mesajlar üzerinden bir kullanıcı hesabına erişim sağlamak ise teknik olarak mümkün görünmüyor.
Veritabanını satışa çıkaran kişi, sızıntının boyutunu 89 milyon kayıt olarak açıkladı. Bu veri paketi, 5.000 ABD doları (yaklaşık 193.800 TL) karşılığında çevrimiçi ortamlarda satılmaya çalışılıyor. Ne var ki, bu kadar yüksek sayıda kaydın bir araya nasıl geldiği ve hangi kaynaktan toplandığı konusunda kesin bir bilgi yok. Valve, olayla ilgili incelemelerin sürdüğünü belirtiyor.
Sızıntının kaynağı bilinmiyor fakat Twilio bağlantısı yalanlandı
Olası kaynaklardan biri olarak gösterilen Twilio da iddialara karşı net bir tutum sergiledi. Twilio sözcüsü, ellerindeki örnekleri incelediklerini ve bu verilerin kendi sistemlerinden sızdığına dair hiçbir işaret bulunmadığını ifade etti. Valve da bu değerlendirmeyi destekler nitelikte bir açıklama yaparak, şirketin SMS gönderimi için Twilio hizmetlerini kullanmadığını vurguladı. Böylelikle Twilio bağlantılı bir sızma senaryosu büyük ölçüde ihtimal dışı bırakılmış oldu.
Sızdırılan mesajların hiçbirinde kullanıcı adı, şifre, ödeme bilgisi veya doğrudan kişisel veri yer almıyor. Buna rağmen telefon numaralarının dış kaynaklara sızmış olması, kullanıcı gizliliği açısından dikkatle ele alınması gereken bir konu. Özellikle çevrimiçi tehditlerin arttığı bu dönemde, telefon numarası gibi veriler bile dolaylı yoldan güvenlik zaaflarına neden olabiliyor. Valve ise kullanıcıların endişelenmesini gerektirecek bir durum olmadığını ifade ediyor.
Şirketin açıklamasına göre, SMS yoluyla bir e-posta veya şifre değişikliği talebinde bulunulduğunda, hem e-posta üzerinden hem de Steam içi güvenli mesajlarla ek onay isteniyor. Bu çok katmanlı doğrulama yaklaşımı sayesinde, bir kodun tek başına kötüye kullanılması engelleniyor. Her ne olursa olsun, kullanıcıların daha güvenli bir deneyim için Steam Mobile Authenticator uygulamasını aktif hale getirmeleri öneriliyor.
Verilerin ne zaman ve nasıl toplandığı netleşmiş değil. Bununla birlikte, SMS içeriklerinin büyük ölçüde eski olması, sızıntının güncel bir sistem açığından kaynaklanmadığını gösteriyor. Öte yandan, çevrimiçi mecralarda bu tarz verilerin hâlâ ticari değer taşıması, kullanıcı güvenliğinin sürekli olarak korunması gerektiğine işaret ediyor. Valve ise bu tür olaylara karşı sistemsel önlemlerin uzun süredir devrede olduğunu belirtiyor.
Söz konusu olayda dikkat çeken bir diğer unsur, bu kadar büyük hacimli verinin neden şimdiye kadar ortaya çıkmamış olması. Eğer veriler yıllar öncesine aitse, bu sızıntının neden şimdi gerçekleştiği sorusu da cevapsız kalıyor. Tüm bunların yanında, Valve’ın erken sayılabilecek bir aşamada açıklama yapması, şirketin kullanıcı güvenliğini ön planda tuttuğunu gösteriyor. Yine de, dijital platform kullanıcılarının temel güvenlik alışkanlıklarını sürdürmeleri önem taşıyor.
Steam hesabı olan kullanıcıların bu aşamada şifre veya telefon numarası değiştirmesi gerekmiyor. Fakat ek güvenlik katmanlarının aktif hale getirilmesi, muhtemel risklerin önüne geçmek açısından her zaman faydalı. Tüm bu bilgiler ışığında, olayın büyüklüğüne karşın doğrudan kullanıcı hesaplarını etkileyen bir tehdit bulunmadığı söylenebilir. Valve ise araştırmalarını sürdürerek, sızıntının tam kaynağını ortaya çıkarmayı hedefliyor.
