Twilio ปฏิเสธว่าระบบของบริษัทถูกเจาะ หลังมีแฮ็กเกอร์รายหนึ่งอ้างว่าครอบครองข้อมูลผู้ใช้ Steam กว่า 89 ล้านรายการ พร้อมรหัสยืนยันตัวตนแบบใช้ครั้งเดียว (One-Time Access Codes)
แฮ็กเกอร์ที่ใช้ชื่อ Machine1337 หรือ EnergyWeaponsUser เปิดเผยว่าได้ข้อมูลดังกล่าวมาจาก Steam และนำออกมาประกาศขายในราคา 5,000 ดอลลาร์
BleepingComputer ตรวจสอบไฟล์ที่รั่วออกมา ซึ่งมีประมาณ 3,000 รายการ พบว่าเป็นข้อความ SMS เก่าที่มีรหัสผ่านแบบใช้ครั้งเดียวของ Steam รวมถึงหมายเลขโทรศัพท์ของผู้ใช้งานที่เกี่ยวข้อง
Steam แพลตฟอร์มเกมดิจิทัลรายใหญ่ของ Valve Corporation ที่มีผู้ใช้งานกว่า 120 ล้านคนต่อเดือน ยังไม่ออกมาแสดงความเห็นต่อข้อกล่าวหาของแฮ็กเกอร์
MellowOnline1 นักข่าวอิสระ และผู้ก่อตั้งกลุ่ม SteamSentinels ที่ติดตามการ fraud บน Steam คาดการณ์ว่าเหตุการณ์นี้อาจเกี่ยวข้องกับการเจาะระบบในลักษณะ supply-chain attack ผ่าน Twilio
โดย MellowOnline1 ระบุว่า หลักฐานจากข้อมูลที่รั่วไหลแสดงให้เห็นบันทึกข้อความ SMS แบบเรียลไทม์จากระบบหลังบ้านของ Twilio และตั้งข้อสันนิษฐานว่าอาจมาจากบัญชีแอดมินถูกแฮ็ก หรือการนำ API key ไปใช้ในทางที่ผิด
Twilio เป็นบริษัทด้านการสื่อสารผ่านคลาวด์ที่ให้บริการ API สำหรับการส่ง SMS, voice calls และข้อความยืนยันตัวตนแบบสองขั้นตอน (2FA) ซึ่งแอปพลิเคชันอย่าง Steam ใช้ในการยืนยันตัวตนผู้ใช้
เมื่อถูกสอบถามถึงความเกี่ยวข้องกับกรณีข้อมูลผู้ใช้ Steam รั่วไหล Twilio ระบุว่า ทราบถึงเหตุการณ์ดังกล่าวแล้ว และกำลังอยู่ระหว่างการตรวจสอบอย่างจริงจัง พร้อมยืนยันว่าจะเปิดเผยข้อมูลเพิ่มเติมเมื่อมีความคืบหน้า
ต่อมา Twilio ได้ออกแถลงการณ์ชี้แจงว่า ระบบของบริษัทไม่ได้ถูกเจาะข้อมูล พร้อมยืนยันว่าไม่มีหลักฐานใดที่บ่งชี้ว่าข้อมูลที่พบออนไลน์นั้นมาจากระบบของ Twilio หลังจากการตรวจสอบตัวอย่างข้อมูลบางส่วนที่รั่วไหลออกไป
จากการตรวจสอบข้อมูลที่ถูกเปิดเผย หนึ่งในคำอธิบายคือการรั่วไหลจากผู้ให้บริการ SMS ที่เป็นตัวกลางในการส่งรหัสยืนยันระหว่าง Twilio และผู้ใช้ Steam
บางข้อความเป็นรหัสยืนยันการเข้าถึงบัญชี Steam หรือการเชื่อมโยงหมายเลขโทรศัพท์ อย่างไรก็ตาม BleepingComputer ยังไม่สามารถระบุแหล่งที่มาของข้อมูล หรือยืนยันข้อกล่าวหาของแฮ็กเกอร์ได้
ข้อมูลบางส่วนถือว่าใหม่ เนื่องจากมีวันที่ส่งตั้งแต่ต้นเดือนมีนาคม โดย Twilio ให้บริการ 2FA ผ่าน Verify API ที่รองรับหลายช่องทาง เช่น SMS, WhatsApp, โทรศัพท์, อีเมล, การแจ้งเตือนแบบ push และรหัสใช้ครั้งเดียวแบบ time-based
เพื่อความปลอดภัยเพิ่มเติม แนะนำให้ผู้ใช้ Steam เปิดใช้งาน Steam Guard Mobile Authenticator และตรวจสอบกิจกรรมในบัญชีสำหรับการพยายามเข้าสู่ระบบโดยไม่ได้รับอนุญาต
ที่มา : bleepingcomputer
You must be logged in to post a comment.