Millionen-Leak im Darknet: Gamer in heller Aufregung

Ein Hacker prahlte damit, persönliche Informationen von sage und schreibe 89 Millionen Nutzern erbeutet zu haben und bot diese für 5.000 US-Dollar im Darknet an. Doch jetzt tritt Steam-Betreiber Valve auf den Plan und gibt – zumindest in weiten Teilen – Entwarnung. Was ist dran an den Schock-Meldungen?

Valve bezieht Stellung: Was wirklich passierte (und was nicht)

In einer offiziellen Stellungnahme, die auch insidebw.de vorliegt, macht Valve unmissverständlich klar: „Das kürzlich gemeldete Datenleck war NICHT mit einer Verletzung der Steam-Systeme verbunden.“ Die Erleichterung für viele Gamer dürfte groß sein. Doch was wurde dann geleakt? Laut Valve handelt es sich bei den aufgetauchten Daten um „ältere SMS-Nachrichten, die einmalige Codes enthielten, die nur für einen Zeitraum von 15 Minuten gültig waren, sowie die Telefonnummern, an die sie gesendet wurden.“

Entwarnung im Detail: Diese Daten sind betroffen (und diese nicht!)

Entscheidend ist hierbei die Aussage von Valve: „Die geleakten Daten sind nicht geeignet, die Telefonnummern mit einem bestimmten Steam-Konto, Passwortinformationen, Zahlungsinformationen oder anderen personenbezogenen Daten in Verbindung zu bringen.“ Auch die bestehenden Schutzmechanismen der Steam-Konten könnten durch diese alten, längst abgelaufenen SMS-Codes nicht überwunden werden.

Das Rätsel um die Quelle: Woher stammen die Daten?

Obwohl die direkten Steam-Systeme sicher sind, bleibt die Frage: Wie konnten diese SMS-Daten überhaupt in falsche Hände geraten? Valve erklärt: „Wir bemühen uns nach wie vor, die Quelle dieses Leaks zu ermitteln, was dadurch erschwert wird, dass SMS-Nachrichten generell während der Übertragung unverschlüsselt sind und auf dem Weg zu Ihrem Telefon über eine ganze Reihe von Anbietern weitergeleitet werden.“ Es handelt sich also offenbar um ein Leck bei einem externen Dienstleister, der für Steam den SMS-Versand abwickelt.

Falsche Fährte? Verwirrung um Drittanbieter

Zwischenzeitlich kursierten Gerüchte, der Kommunikationsdienstleister „Trillio“ (oft als Twilio interpretiert) sei verantwortlich. Valve selbst wies jedoch eine Zusammenarbeit mit einem solchen Dienst zurück. Auch Twilio prüfte den Vorfall und stellte klar, dass die Daten nicht aus den eigenen Systemen stammen. Die Suche nach dem genauen Ursprung des Lecks dauert also an.

Müssen Steam-Nutzer jetzt handeln? Das rät Valve

Die wichtigste Botschaft von Valve an seine riesige Nutzergemeinde: Es besteht kein Grund zur Panik.

Keine Panik: Passwörter und Nummern vorerst sicher

„Sie müssen aufgrund dieses Vorfalls weder Ihr Passwort noch Ihre ggf. bei Steam hinterlegte Telefonnummer ändern,“ so das Unternehmen.

Proaktiver Schutz: Das können Sie jetzt für Ihr Konto tun

Dennoch sieht Valve den Vorfall als „gute Erinnerung daran, jede SMS zu Ihren Benutzerkonten, die Sie nicht ausdrücklich angefordert haben, als verdächtig zu behandeln.“ Generelle Wachsamkeit ist also geboten. Als zusätzliche Sicherheitsmaßnahme empfiehlt das Unternehmen dringend: „Wir empfehlen außerdem, den Steam Mobile Authenticator einzurichten, falls Sie dies noch nicht getan haben, da dieser uns den besten Weg bereitstellt, Ihnen geschützte Nachrichten über Ihr Konto und dessen Sicherheit zu senden.“ Diese Zwei-Faktor-Authentifizierung bietet einen deutlich erhöhten Schutz für den eigenen Account und die darin enthaltene Spielebibliothek. Nutzer können die Sicherheit ihres Kontos zudem regelmäßig unter store.steampowered.com/account/authorizeddevices überprüfen.

Auch wenn die aktuellen Meldungen für viele Nutzer beunruhigend klangen, scheint die direkte Gefahr für Steam-Konten durch dieses spezifische Datenleck gering. Die schnellen und klaren Aussagen von Valve tragen zur Beruhigung bei, während die Ermittlungen zur genauen Quelle des externen SMS-Datenlecks weiterlaufen.