Steam短信验证码泄露事件解析与官方安全防护指南

Valve公司于北京时间2025年5月15日针对近期曝光的短信验证信息泄露事件发布官方声明。经调查确认，此次泄露涉及为Steam用户发送的双重身份验证（2FA）短信，内容包括15分钟后失效的一次性验证码及接收短信的电话号码。

但未与Steam账户、密码、支付信息或其他个人数据关联。泄露源头并非Steam系统遭入侵，其服务器与数据库未受损害。此前，第三方通信服务商Twilio被曝存在数据泄露风险，该企业曾为部分平台提供短信验证服务。

泄露数据包含短信验证码、发送状态、时间戳、收件人号码及路由成本等信息。若攻击者拦截或伪造验证码，可能尝试绕过账户登录保护，但Steam官方强调，由于验证码时效性极短（15分钟失效）。

且泄露数据未与账户绑定，实际盗号风险较低。Valve明确表示，用户无需因此次事件主动更改密码或电话号码，但需注意以下防护要点：

1. 警惕异常安全消息：若收到非本人操作的账户安全提示（如密码重置请求），应立即通过官方渠道核实；

2. 启用Steam手机验证器：该功能提供更安全的动态码生成方式，可降低对短信验证的依赖；

3. 双重确认机制：当用户通过短信验证码修改邮箱或密码时，Steam会同步发送邮件或客户端安全通知，用户需二次确认方可生效。

此次事件暴露出依赖第三方通信服务商可能存在的隐患。尽管Steam与Twilio的合作关系尚未得到官方证实（Valve声明未使用其服务），但类似事件仍提醒用户需关注验证码接收渠道的安全性，优先选择内置验证器（如Steam Guard）替代短信验证。

Valve通过技术排查与用户指引，明确了泄露数据的局限性及应对策略。当前Steam账户安全机制未受实质性威胁，但用户应持续强化账户防护措施，以应对潜在的网络钓鱼攻击风险。

乐玩编辑部
发布作者