Pur non avendo violato direttamente la piattaforma, quindi, il criminale sarebbe riuscito a infiltrarsi nel sistema del fornitore “probabilmente tramite un account utente Twilio compromesso o una chiave API o un accesso diretto alla dashboard back-end di Twilio”. La compagnia però non è affatto d’accordo con l’ipotesi avanzata pubblicamente dal giornalista. “Non ci sono prove che suggeriscano che Twilio sia stata violata – ha dichiarato un portavoce della società – Abbiamo esaminato un campione di dati trovati online e non vediamo alcuna indicazione che questi dati siano stati ottenuti da Twilio”. Pertanto, una possibile spiegazione dell‘origine di questi dati sarebbe da individuare in una fuga da un provider di sms che intermedia la comunicazione di codici di accesso una tantum tra Twilio e gli utenti di Steam. Un’ipotesi che non ha ancora trovato alcuna conferma ufficiale.
La risposta di Steam
“Abbiamo esaminato il campione di perdite e abbiamo stabilito che non si trattava di una violazione dei sistemi Steam”. Così, in modo deciso e perentorio, la piattaforma comunica ai suoi utenti che non è stata vittima di alcuna violazione da parte dei cybercriminali. In ogni caso, la compagnia ci ha tenuto a precisare che sta indagando sulla presunta fuga di dati, che consiste in “vecchi messaggi di testo che includevano codici monouso validi solo per periodi di 15 minuti e i numeri di telefono a cui erano stati inviati”. Considerando la natura dei dati trapelati in rete, quindi, sembra difficile che questi possano essere utilizzati per accedere agli account Steam degli utenti, che possono quindi dirsi al sicuro da eventuali incursioni da parte di malintenzionati.
Pertanto, come suggerisce Steam, “non è necessario modificare le password o i numeri di telefono a seguito di questo evento”. Nonostante questo, il consiglio della piattaforma è quello di monitorare lo stato di sicurezza degli account, così da accertarsi di non avere problemi di alcun tipo. In ogni caso, ancora adesso, non è chiaro come queste informazioni siano finite prima nelle mani di Machine1337 e poi nel dark web. Ma Valve sta indagando per scoprirlo.
