11 мая 2025 года в средствах массовой информации появилась заметка о продаже огромного массива данных, связанных с аккаунтами Steam. В самой утечке нет ничего необычного, вишенкой являются бальные танцы вокруг ситуации и экспертное мнение по данному поводу. Давно погружён в подобную тематику и с большой пачкой попкорна наблюдаю за происходящим. Момент интересен Damage Control от Valve и тем, как она прикрывает свою пятую точку от негатива среди геймеров.
Тематика сливов в средствах массовой информации
Много лет назад на одном из информационных сайтов решил поделиться некоторой информацией о программах для работы со Steam. В них не было ничего особенного, только расширялись возможности по быстрому получению ачивок, внутриигровых предметов и прочих плюшек. Администрация игрового портала посчитала, что статья может нарушать законодательство Российской Федерации, и не позволила публикацию. Это был малюсенький намёк на настоящее положение дел, связанных со взломом, серыми схемами, нетрадиционными заработками в сети. В СМИ запрещается говорить о вещах на грани криминала.
Новостные заголовки о заработках хакеров вызывают сильнейший общественный резонанс. Общество удивляется, когда видит подобную информацию, и выпадает в осадок от её осознания.
Правда жизни состоит в том, что существует огромнейший теневой рынок, где подобное происходит ежедневно. Зашёл в поисковике по первой же ссылке о продаже с «Гарантом». Продаётся около 2 млрд записей, объявлению 3 дня. Это не где-то в даркнете, а обычный тематический сайт, о котором нельзя говорить.
Подобных объявлений сотни и тысячи только в русскоязычном сегменте. А ещё есть китайцы, турки, представители азиатских стран. Подавляющее число граждан даже и не подозревает о подобном вокруг нас и насколько сильно оно влияет на нашу повседневность.
Наверное, многие заметили такое новшество последних лет, как капча. Робот ты или нет. А как много народу задумывалось о том, что за роботы такие и почему они наводнили нашу повседневность? Это примитивная защита от перебора логинов и паролей из слитых баз данных. Пока вы вводите и решаете головоломку, специальные программы проверяют «валидность сотен тысяч аккаунтов» на тысячах ресурсов. Но даже о подобном мало кто знает.
Законодательства многих стран табуируют подобные темы, и подавляющее число обычных граждан и близко не подозревает о масштабной проблеме.
Брутфорс паролей и взлом аккаунтов
Многие слышали, что ваш пароль должен состоять из букв, цифр, символов различного регистра и всё это необходимо менять хотя бы один раз в полгода. Вот только это миф, тиражируемый корпорациями. Чтобы в этом удостовериться, введите неправильный пароль десять раз на своей почте и посмотрите, что произойдёт. Брутфорс аккаунтов исчез 15 лет назад. При неправильном вводе вы получите временную блокировку, и перебор в сегодняшних реалиях невозможен... Точнее, экономически нецелесообразен.
Данные для взлома аккаунтов получают через взлом сайтов и вынимание баз данных, что в них хранятся. Раньше ресурсы писали, что ваши пароли зашифрованы и надёжно упакованы. Только сие не имеет значения. Давно научились писать словари «соответствий», и никто ничего не расшифровывает. Если из АААДДД после шифрации у вас получается АФАДДФГЙ, то по словарю находят АФАДДФГЙ, и он всегда будет соответствовать АААДДД. Есть некоторые сайты с двойной шифрацией, но это слишком дорого и серьёзная нагрузка на сервера, и подобное используют редко.
Утечка данных о 89 миллионах пользователей Steam
Почему-то люди смотрят на подобный заголовок и видят информацию о 89 млн пользователей. Эксперты «по безопасности» успокаивают геймеров и заявляют, что это бесполезные сведения.
Давно не в тематике взлома аккаунтов Steam, и даже я вижу, что продают список, где все аккаунты без включённого Steam Guard, и они взламываются по щелчку пальца. Те, кто не в теме, напомню, что Steam требует не только верификацию почты, привязку номера телефона, но и активацию двухфакторной аутентификации. СМСки означают, что она не включена.
Но в заголовке самое главное слово — «утечка», а не история о 89 млн строках. Это означает, что найдена новая уязвимость, и её будут использовать. И не только у данного оператора, но и в других случаях. Это как с защитой Denuvo: там, где смогли найти способ хака одной игры, данный способ будут использовать во всех аналогичных ситуациях. Сегодня смогли слить информацию только о номерах телефонов, а что будет завтра?
Просвещение народа о безопасности в сети интернет
Самая странная тема из всех возможных. Это табуированная тема, и вам не позволят о ней рассказать на крупных площадках. Законодательство устроено так, что разговоры о подобном пресекаются на корню. В прошлом году выпустил заметку о блокировке аккаунтов Steam, и информация вызвала широкий резонанс с обвинениями в «набросах» и подобном.
Вот только правда состоит в том, что с открытия магазина Valve было создано около 2000 млн аккаунтов, а живых среди них менее 500 млн. Остальные 1500 млн были заблокированы. Это больше, чем по 400 тысяч блокировок ежедневно. Новость о жалких 20 тысячах за два месяца — это пыль на лобовом стекле, и она вызвала громкие пересуды. Народ не понимает действительные масштабы и живёт в мире единорогов и розовых пони. Крупным корпорациям удобно замалчивать об имеющейся проблеме, а закон ограничивает возможность просвещения.
Как защитить свой аккаунт Steam
Для начала вам необходимо создать новый почтовый ящик. Это необязательно, но очень желательно. Этот почтовый ящик нельзя использовать нигде, кроме крупных цифровых магазинов. На него не должны производиться регистрации в различных сервисах и сайтах. Большинство утечек идёт с «левых ресурсов», что продают ваши данные либо взламываются по щелчку пальца. Через доступ к почте злоумышленник «восстанавливает» забытый пароль и получает доступ ко всем вашим сокровищам.
На важном почтовом ящике обязательно должна стоять двухфакторная аутентификация через СМС на телефон. Первый пункт будет отличным вариантом, но многие создают почтовые ящики по типу «overclockers@mail.ru», «overclockers@ya.ru», «overclockers@rambler.ru» и прочее — подобные почты вскрываются через подстановку и замену домена.
На вашем аккаунте Steam (и любом другом) обязательно должна быть включена двухфакторная аутентификация через СМС. Многие современные сервисы устали от нашествия мошенников и вводят данную защиту по умолчанию.
Чистите почту от входящих сообщений или создайте отдельную папку для чувствительных писем с конфиденциальной информацией. Для восстановления паролей на многих ресурсах используется информация о кредитных картах (часть номера указывается в письме об оплате), адрес проживания (адрес доставки), дата регистрации (письмо с подтверждением регистрации) и прочее — удаляйте или прячьте подобное.
Создайте резервный почтовый ящик с облачным хранилищем. Практика показала, что люди переустанавливают систему на своих персональных компьютерах и теряют логины/пароли от любимых сервисов. Раз в пару лет необходимо сохранять всю чувствительную информацию и хранить отдельно. Обязательно при создании резервной копии не используйте названия Steam, пароли, резервная копия и прочее.
Послесловие
Обычные граждане продолжают верить, что их данные никому не интересны, пока не теряют доступ к играм, деньгам и личной информации. Большие корпорации стараются не афишировать проблему, а появившуюся информацию принизить и нивелировать. Без тотального просвещения и смены настроений в подходе к кибербезопасности так и будем жить в условиях «введите капчу и живите спокойно». А потом некоторые удивляются, почему Steam банит миллионы ботов и откуда берутся очередные новшества в виде Steam Guard.