Twilio nega violação após suposto vazamento de códigos 2FA da Steam

A empresa Twilio negou ter sofrido uma invasão em seus sistemas após um hacker, identificado pelo pseudônimo Machine1337 (também conhecido como EnergyWeaponsUser), afirmar estar em posse de mais de 89 milhões de registros de usuários da Steam, incluindo códigos de autenticação de dois fatores (2FA). O cibercriminoso estaria oferecendo o suposto banco de dados à venda por US$ 5 mil.

Cerca de 3 mil registros, e constatou que os dados incluíam mensagens SMS com códigos de autenticação da Steam, acompanhadas de números de telefone dos destinatários. A Steam, plataforma de distribuição de jogos da Valve com mais de 120 milhões de usuários ativos mensais, não respondeu aos pedidos de comentário sobre o incidente.

Segundo o jornalista independente MellowOnline1, criador do grupo SteamSentinels — que monitora abusos e fraudes no ecossistema da Steam —, os indícios apontam para uma comprometimento na cadeia de fornecimento, possivelmente envolvendo a Twilio. A análise técnica sugere que os dados foram extraídos de sistemas internos da Twilio, possivelmente por meio do comprometimento de uma conta administrativa ou do uso indevido de chaves de API.

A Twilio, que fornece serviços de comunicação em nuvem amplamente utilizados para o envio de SMS, chamadas e autenticação 2FA, reconheceu que está investigando o caso. “Levamos essas ameaças muito a sério e estamos revisando o incidente reportado. Forneceremos mais informações assim que estiverem disponíveis”, disse um porta-voz. Em uma atualização posterior, a empresa afirmou categoricamente:

“Não há evidências que sugiram uma violação nos sistemas da Twilio.”

Uma hipótese alternativa é que os dados tenham vazado de um provedor de SMS intermediário, responsável por entregar as mensagens entre a Twilio e os usuários da Steam. Ainda assim, não foi possível confirmar a origem exata do vazamento, nem verificar com precisão as alegações feitas pelo hacker. Alguns dos dados analisados possuem datas recentes, como mensagens enviadas no início de março.

A Twilio oferece o serviço Verify API, que permite autenticação em dois fatores por diversos canais — incluindo SMS, WhatsApp, chamadas, senhas temporárias e notificações push. Diante do caso, especialistas recomendam que os usuários da Steam ativem o Steam Guard Mobile Authenticator para fortalecer a segurança da conta e fiquem atentos a atividades suspeitas de login.