Steam双重验证安全风险预警:Twilio数据泄露或危及玩家账户保护
时间:2025-05-12 13:01:00
美国网络安全和基础设施安全局(CISA)于2024年8月将Twilio Authy的信息泄露漏洞(CVE-2024-39891)列入已知利用漏洞目录。此次漏洞涉及Twilio为Steam提供的双重身份验证(2FA)服务。
导致包含消息内容、发送状态、元数据(时间戳、收件人号码)及路由成本等敏感数据外泄。尽管Steam官方服务器未遭直接入侵,但其依赖的第三方服务商漏洞仍对玩家账户安全构成潜在威胁。
根据公开信息,攻击者可利用泄露的元数据及路由信息,伪造高度仿真的钓鱼消息或拦截2FA验证码,从而绕过用户登录保护。值得注意的是,Twilio旗下二次验证应用Authy在2024年7月已曝出3300万用户绑定手机号泄露事件。
叠加此次API漏洞,进一步扩大攻击面。历史数据显示,Twilio曾在2022年因员工凭证被窃导致125名客户数据遭非法访问,暴露出其安全防护机制的持续性缺陷。目前,Steam尚未发布针对此事件的专项声明。安全专家建议玩家采取以下措施:
1. 启用备用验证方式:优先通过Steam移动端令牌或第三方认证工具替代短信验证;
2. 警惕异常消息:避免点击来源不明的链接,尤其是包含“账户异常”“验证码重发”等内容的信息;
3. 定期更新凭证:若手机号已绑定Steam账户,建议主动更换并核查关联设备登录记录。
此次事件再次凸显第三方服务商在关键安全链路中的系统性风险。类似案例包括2022年Uber因Slack服务器被入侵导致内部数据泄露,以及迪士尼因Slack漏洞致1.1TB数据外流。企业需强化供应链安全审计,建立多层防御体系以应对复杂攻击链。
