Hackeo a Steam? 89 millones de cuentas vulneradas?

Es hora de empezar a correr en circulos con los brazos en alto.

Saludos, como Steam no es un juego y hay un hilo solo para Steam pues aconsejo cerrar este hilo y hablar allí y así nos ahorramos noticias repetidas.

https://www.elotrolado.net/hilo_steam_1352529

lolololito escribió:Ahora leyendo por internet, leo una notícia que se cree que han hackeado a un proveedor de servicios de STEAM y que todos los datos los venden.

Aquí la noticia:

https://www.genbeta.com/seguridad/supue ... ue-sabemos

Es verdad?

Y cambia el título porque no han hackeado a steam, si no a twilio. A parte de que el hackeo aún no está confirmado, pueden ser rumores.
A parte de que teniendo 2FA o steamguard no debería haber "peligro" grave.

lolololito escribió:Ahora leyendo por internet, leo una notícia que se cree que han hackeado a un proveedor de servicios de STEAM y que todos los datos los venden.

Aquí la noticia:

https://www.genbeta.com/seguridad/supue ... ue-sabemos

Es verdad?

Genbeta por dios. Noticias clickbait, exageraxiones o directamente mentira como lo es esta.

LorK escribió:A parte de que teniendo 2FA o steamguard no debería haber "peligro" grave.

A mi me han entrado incluso en el banco saltándose todas las seguridades y recibiendo cero avisos yo y mi mujer. Lo mismo con Google y sus 5 o 6 métodos de seguridad, Twitch, Discord, Battle.net, EA etc... y casi todos con 2FA.

Lázaro escribió:

LorK escribió:A parte de que teniendo 2FA o steamguard no debería haber "peligro" grave.

A mi me han entrado incluso en el banco saltándose todas las seguridades y recibiendo cero avisos yo y mi mujer. Lo mismo con Google y sus 5 o 6 métodos de seguridad, Twitch, Discord, Battle.net, EA etc... y casi todos con 2FA.

Hombre yo revisaria tu PC o que algo haceis con el phising porque mira que es raro que te hackeen tantas cuentas de diferentes compañias, vamos yo eso solo lo he visto si es alguien especifico que quiere solo hackearte a ti.

Vaya hombre, todavia no podemos correr en circulos con los brazos en alto?.

LorK escribió:

lolololito escribió:Ahora leyendo por internet, leo una notícia que se cree que han hackeado a un proveedor de servicios de STEAM y que todos los datos los venden.

Aquí la noticia:

https://www.genbeta.com/seguridad/supue ... ue-sabemos

Es verdad?

Y cambia el título porque no han hackeado a steam, si no a twilio. A parte de que el hackeo aún no está confirmado, pueden ser rumores.
A parte de que teniendo 2FA o steamguard no debería haber "peligro" grave.

Si te lees (y no miras) el contenido de mi primer comentario, pongo un "proveedor de servicios de STEAM", que ofrece SERVICIO para ellos.

Ya que GENBETA es clickbait, pongo una actualizada de COMPUTERHOY, donde sí dicen que STEAM confirma que los datos que se ofrecen son auténticos (aunque se consideran "inservibles")

https://computerhoy.20minutos.es/gaming ... am-1461251

Evidentemente yo tengo STEAM GUARD desde hace años

Pues ya han salido Twilio y Steam diciendo que ellos no han sufrido ninguna brecha de seguridad. Parece que lo que se ha filtrado han sido el contenido de mensajes SMS que tenian los tipicos codigos de seguridad de cuando te logueas en Steam. Lo cual explicaría porque se vedian dan cantidad de datos de cuentas por tan poco dinero, ya que es una cosa que apenas tiene valor.

Como mucho, lo que va a saber la persona que compre esos datos es que esos numeros de telefono tienen una cuenta de Steam. Y poco más.

PD: para los que teneis los avisos de 2FA mediante SMS, lo mejor que podeis hacer es que os manden esos avisos por otro método, ya que los SMS son bastantes inseguros.

Lázaro escribió:

LorK escribió:A parte de que teniendo 2FA o steamguard no debería haber "peligro" grave.

A mi me han entrado incluso en el banco saltándose todas las seguridades y recibiendo cero avisos yo y mi mujer. Lo mismo con Google y sus 5 o 6 métodos de seguridad, Twitch, Discord, Battle.net, EA etc... y casi todos con 2FA.

Pues tiene toda la pinta que por tu PC ha pasado un corsario con mucha mercancía dudosa y tienes o has tenido una buena mierda controlando todo.

O eso o eres alguien a por quién merece la pena ir de forma directa. Y en ese caso las cuentas de jueguitos no creo que le importen lo más mínimo.

@exitfor @Leviatan22

EA lo uso de uvas a peras (una vez al año o así), el banco NUNCA lo he abierto en el PC, Twitch tampoco lo uso casi nunca y cuando lo hago es en el móvil, Battle.net lo uso cuando sale una expansión de WoW durante solo un mes… Además uso antivirus y paso varios programas especializados cada cierto tiempo. Tampoco almaceno contraseñas ni en el navegador ni en el PC.
Como digo, si quieren pueden. Y el 2FA no es la panacea, se lo pueden saltar como quieran. Y no, no soy alguien que sea interesante precisamente jajaja (ojalá).

Lázaro escribió:@exitfor @Leviatan22

EA lo uso de uvas a peras (una vez al año o así), el banco NUNCA lo he abierto en el PC, Twitch tampoco lo uso casi nunca y cuando lo hago es en el móvil, Battle.net lo uso cuando sale una expansión de WoW durante solo un mes… Además uso antivirus y paso varios programas especializados cada cierto tiempo. Tampoco almaceno contraseñas ni en el navegador ni en el PC.
Como digo, si quieren pueden. Y el 2FA no es la panacea, se lo pueden saltar como quieran. Y no, no soy alguien que sea interesante precisamente jajaja (ojalá).

Si te han entrado en el banco, google y todas las demas plataformas, quizas el problema no solo sean los hackers

@anibaltw Da igual que motivo sea, es lo que digo, tener 2FA no es sinónimo de alta seguridad, si quieren entrar entran igual, que es el motivo de mi post. No hablamos de mi, os recuerdo. Y como mi caso hay millones en todo el mundo.

lolololito escribió:

LorK escribió:

lolololito escribió:Ahora leyendo por internet, leo una notícia que se cree que han hackeado a un proveedor de servicios de STEAM y que todos los datos los venden.

Aquí la noticia:

https://www.genbeta.com/seguridad/supue ... ue-sabemos

Es verdad?

Y cambia el título porque no han hackeado a steam, sino a twilio. A parte de que el hackeo aún no está confirmado, pueden ser rumores.
A parte de que teniendo 2FA o steamguard no debería haber "peligro" grave.

Si te lees (y no miras) el contenido de mi primer comentario, pongo un "proveedor de servicios de STEAM", que ofrece SERVICIO para ellos.

Ya que GENBETA es clickbait, pongo una actualizada de COMPUTERHOY, donde sí dicen que STEAM confirma que los datos que se ofrecen son auténticos (aunque se consideran "inservibles")

https://computerhoy.20minutos.es/gaming ... am-1461251

Evidentemente yo tengo STEAM GUARD desde hace años

Leer leo, ahora lee tu mi mensaje y verás que hago referencia a que cambies el título ("HACKEO A STEAM? 89 millones de cuentas vulneradas?) que es lo que está incorrecto porque como bien decías en tu primer comentario es un "proveedor de servicios de steam" no steam quien ha sido supuestamente hackeado (a falta de confirmación).


Que en tu comentario dices una cosa y en el título otra.

@Lázaro hombre... no creo que estén diciendo que la 2FA sea infalible (literalmente @LorK dice que no DEBERÍA haber peligro grave, no que no lo haya), más bien que si han intentado entrar en cada una de las cuentas y cada uno de los servicios que tienes, ahí el problema lo mismo es otro... Que una bala perdida le puede rozar a cualquiera, pero si a alguien le rozan balas todos los días, lo mismo tan perdidas no son y le están disparando. Y una de dos, o se ha metido donde no debía, o alguien va detrás.

Dicho esto, cuando es algo puntual, la 2FA desde luego da un plus de seguridad. Ahora, en tu caso, yo ya no me fiaría ni de con quien comparto cama, porque madre mía...

Ludvik escribió:@Lázaro hombre... no creo que estén diciendo que la 2FA sea infalible (literalmente @LorK dice que no DEBERÍA haber peligro grave, no que no lo haya), más bien que si han intentado entrar en cada una de las cuentas y cada uno de los servicios que tienes, ahí el problema lo mismo es otro... Que una bala perdida le puede rozar a cualquiera, pero si a alguien le rozan balas todos los días, lo mismo tan perdidas no son y le están disparando. Y una de dos, o se ha metido donde no debía, o alguien va detrás.

Dicho esto, cuando es algo puntual, la 2FA desde luego da un plus de seguridad. Ahora, en tu caso, yo ya no me fiaría ni de con quien comparto cama, porque madre mía...

Claro, mi "debería" es porque por ejemplo si tu 2FA es el correo y en steam y en el correo tienes la misma contraseña (y se ha filtrado tu contraseña de steam)... pueden acceder a tu 2FA (correo) .
Sin embargo si es una app tipo steamgurad, battlenet, authy... ahí no tienen nada que hacer.

Pero vamos, parece ser que han confirmado que sólo tenían acceso a SMS con código (de un sólo uso) del 2FA. Por lo que con esa filtración hay 0 peligro.

Y la confirmación está en que teniendo supuestamente datos de 89M de "algo" relacionado con STEAM (cosa poca importante y pequeña ) estén pidiendo sólo 5.000€ por ello...

2 + 2 =

Ludvik escribió:Que una bala perdida le puede rozar a cualquiera, pero si a alguien le rozan balas todos los días, lo mismo tan perdidas no son y le están disparando. Y una de dos, o se ha metido donde no debía, o alguien va detrás.

Joder, me ha encantado tu comparacion.

@LorK Está bien que sea solo sistema SMS y no afecte a más, pero lo que sí que tienen son los números de teléfono de los usuarios a los que se les enviaron, no?

Putadón, porqué no afectará a las cuentas de STEAM, pero sí a esos teléfonos, y seguramente entrarán en una lista de envío masivo de mensajes de estafa (ya sean con remitente STEAM, BANCO, CORREO, etc..)

LorK escribió:Sin embargo si es una app tipo steamgurad, battlenet, authy... ahí no tienen nada que hacer.

En mi caso todas mis contraseñas generadas aleatoriamente (ninguna se repite) con hasta 18 caracteres y todo lo posible está con Authy, Google y Microsoft. Battle.net y Steam lo mismo. Este último hace no mucho me gastaron las monedas de Steam para repartir premios a otros. Para acceder al curro incluso tengo que firmarlo con un certificado. Y como digo, entraron a mi banco (CaixaBank), uso iPhone y nunca he entrado en la web. Google por ejemplo tengo pregunta secreta (se la saltaron), Google Authenticator, SMS, contraseña larga, correo de recuperación y más. Y se lo saltaron TODO sin que me llegara aviso.
Y no, no fue todo a la vez ni por el ordenador (chequeado mil veces e incluso una vez después de formatear).
La realidad es que si los hackers quieren entrar, entran. Por más seguridad que pongas. Y se ha visto en millones de lugares súper seguros.

@Lázaro Algo rarisimo hay ahí. No puede ser eso que estas contando pero como lo es por que no dudo de tu palabra algo rarisimo hay ahi. Yo buscaria ayuda profesional. No, un psiquiatra no....., Un informatico forense.

Lázaro escribió:

LorK escribió:Sin embargo si es una app tipo steamgurad, battlenet, authy... ahí no tienen nada que hacer.

En mi caso todas mis contraseñas generadas aleatoriamente (ninguna se repite) con hasta 18 caracteres y todo lo posible está con Authy, Google y Microsoft. Battle.net y Steam lo mismo. Este último hace no mucho me gastaron las monedas de Steam para repartir premios a otros. Para acceder al curro incluso tengo que firmarlo con un certificado. Y como digo, entraron a mi banco (CaixaBank), uso iPhone y nunca he entrado en la web. Google por ejemplo tengo pregunta secreta (se la saltaron), Google Authenticator, SMS, contraseña larga, correo de recuperación y más. Y se lo saltaron TODO sin que me llegara aviso.
Y no, no fue todo a la vez ni por el ordenador (chequeado mil veces e incluso una vez después de formatear).
La realidad es que si los hackers quieren entrar, entran. Por más seguridad que pongas. Y se ha visto en millones de lugares súper seguros.

Venga, un abrazo.

Lázaro escribió:

LorK escribió:Sin embargo si es una app tipo steamgurad, battlenet, authy... ahí no tienen nada que hacer.

En mi caso todas mis contraseñas generadas aleatoriamente (ninguna se repite) con hasta 18 caracteres y todo lo posible está con Authy, Google y Microsoft. Battle.net y Steam lo mismo. Este último hace no mucho me gastaron las monedas de Steam para repartir premios a otros. Para acceder al curro incluso tengo que firmarlo con un certificado. Y como digo, entraron a mi banco (CaixaBank), uso iPhone y nunca he entrado en la web. Google por ejemplo tengo pregunta secreta (se la saltaron), Google Authenticator, SMS, contraseña larga, correo de recuperación y más. Y se lo saltaron TODO sin que me llegara aviso.
Y no, no fue todo a la vez ni por el ordenador (chequeado mil veces e incluso una vez después de formatear).
La realidad es que si los hackers quieren entrar, entran. Por más seguridad que pongas. Y se ha visto en millones de lugares súper seguros.

Siento decirte que eso que expones no es así. Está claro que por algún lado se te han colado porque por mucho que un "hacker quiera" no puede saltarse tantas cosas así como así (y más cuando me hablas de distintos servicios con distintos sistemas de protección/2FA etc). Creo que desconoces si realmente te ha pasado algo internamente.
Si alguien quiere atacarte a ti personalmente aumentan mucho las probabilidades, por supuesto, pero a la gente de a pie no suelen tener esa dedicación a no ser que seas alguien importante/famoso. En empresas si pasa mucho.

Y creeme, no lo digo a malas ni de modo ofensivo, lo digo desde el conocimiento de que me dedico a estas cosas. Y si, nunca nadie ha expuesto nada y si, "siempre que quieren entran" ... "¿cómo es posible que hayan usado la cuenta de la empresa si nadie tiene acceso?, ¿cómo han hecho para hacer pedidos en nuestro nombre?, ¿cómo han podido acceder al servidor si tenemos firewall/checkpiont/antivirus/seguridad perimetral/etc/etc ...?... y luego resulta que si hubo exposición...siempre (True history). El tema es que siempre que pasa, nunca se es consciente.
Y en tu caso que indicas que accedieron hasta al armario de tu ropa está claro que algo hay. (otra cosa y además difícil es después saber qué y como. Y contra más tiempo se deja pasar peor xD )

@Hexley Raro es, desde luego, pero que ocurrió es totalmente cierto. Además lo del banco no fue solo a mi, a una madre del colegio de mis hijos le ocurrió exactamente lo mismo. Que te entren al banco y que hagan operaciones jode, pero nos jodió más el tener todo bloqueado durante casi un mes. Por el dinero no, porque siempre estamos pelaos y apenas quitaron nada, pero lo de no poder tener acceso a nuestro dinero fue una jodienda.
@himversor Un saludo.
@LorK No digo que no se hayan colado, de algún modo lo tienen que haber hecho, pero ya digo que con Google por ejemplo, formatee ese mismo día, cambié todas mis contraseñas de todos mis correos de Google y a los dos/tres días lo volvieron a hacer saltándose de nuevo todo. Y no es que pasara antivirus gratuitos o similares, utilicé programas más especiales para estas cosas y nada de nada. Si utilizaron algo que no es detectable ni idea, pero aún así llama la atención que no avisara ni Google de que me habían robado la cuenta (lo de recuperarla es otro melón que abrir...). ¿Eso cómo se hace? Y no, ni soy famoso, ni tengo empresa, ni cobro suficiente (ni el salario mímino) ni nada similar. Soy otro pobre desgraciado de la vida
Sobre páginas; no descargo nada por torrent, tampoco descargo archivos que pudieran traer virus, los correos casi todos los mando a la papelera y solo abro los que conozco que son legítimos. Mi rutina en el PC es navegar por EOL, Twitter, YouTube, Slack y varias wikis tanto de interés cultural (Wikipedia, vaya xD) y de videojuegos como LOTRO o FFXI. Cuando estoy en el PC es para jugar casi siempre jajaja. De hecho soy de esos locos que no coge ni teléfonos que no tenga en la agenda, salvo esos días en los que esperas un paquete y sabes que por un motivo u otro te tenga que llamar la agencia (que casi siempre se por qué números empiezan). Con otra cosa no, pero con la seguridad soy un poco tiquismiquis. ¿Cómo consiguieron todo eso? Ni idea. Mis contraseñas no me las se ni yo, utilizo BitWarden.

Lázaro escribió:@Hexley Raro es, desde luego, pero que ocurrió es totalmente cierto. Además lo del banco no fue solo a mi, a una madre del colegio de mis hijos le ocurrió exactamente lo mismo. Que te entren al banco y que hagan operaciones jode, pero nos jodió más el tener todo bloqueado durante casi un mes. Por el dinero no, porque siempre estamos pelaos y apenas quitaron nada, pero lo de no poder tener acceso a nuestro dinero fue una jodienda.
@himversor Un saludo.
@LorK No digo que no se hayan colado, de algún modo lo tienen que haber hecho, pero ya digo que con Google por ejemplo, formatee ese mismo día, cambié todas mis contraseñas de todos mis correos de Google y a los dos/tres días lo volvieron a hacer saltándose de nuevo todo. Y no es que pasara antivirus gratuitos o similares, utilicé programas más especiales para estas cosas y nada de nada. Si utilizaron algo que no es detectable ni idea, pero aún así llama la atención que no avisara ni Google de que me habían robado la cuenta (lo de recuperarla es otro melón que abrir...). ¿Eso cómo se hace? Y no, ni soy famoso, ni tengo empresa, ni cobro suficiente (ni el salario mímino) ni nada similar. Soy otro pobre desgraciado de la vida
Sobre páginas; no descargo nada por torrent, tampoco descargo archivos que pudieran traer virus, los correos casi todos los mando a la papelera y solo abro los que conozco que son legítimos. Mi rutina en el PC es navegar por EOL, Twitter, YouTube, Slack y varias wikis tanto de interés cultural (Wikipedia, vaya xD) y de videojuegos como LOTRO o FFXI. Cuando estoy en el PC es para jugar casi siempre jajaja. De hecho soy de esos locos que no coge ni teléfonos que no tenga en la agenda, salvo esos días en los que esperas un paquete y sabes que por un motivo u otro te tenga que llamar la agencia (que casi siempre se por qué números empiezan). Con otra cosa no, pero con la seguridad soy un poco tiquismiquis. ¿Cómo consiguieron todo eso? Ni idea. Mis contraseñas no me las se ni yo, utilizo BitWarden.

Ya te digo que es muy difícil saberlo a posteriori en un entorno desconocido y no controlado ni preparado. Normalmente de cosas así salen las "leyendas urbanas" de ciberseguridad

Una pregunta ¿bitwarden has ido hackeado alguna vez?. Porque si hay algo realmente inseguro para las contraseñas es tenerlas es un servicio/proveedor online... (para hogares es mucho más seguro tenerlas apuntadas en una libreta de papel en un cajón )
Por ejemplo last pass (otro servicio similar a bitwarden) fue hackeado, lo usaban montón de clientes donde curro y se lió la de dios etc.

@LorK Nop, nunca me han entrado en BitWarden ni he tenido que cambiar la contraseña. Aún así la cambio cada pocos meses por si las moscas.
Y sí, lo de la libreta es algo que siempre le recomiendo a mis padres aunque nunca me hacen caso y se acaban olvidando de las que ponen xD