美國網絡安全和基礎設施安全局（CISA）于2024年8月將Twilio Authy的信息泄露漏洞（CVE-2024-39891）列入已知利用漏洞目錄。此次漏洞涉及Twilio為Steam提供的雙重身份驗證（2FA）服務。

導致包含消息內容、發(fā)送狀態(tài)、元數(shù)據（時間戳、收件人號碼）及路由成本等敏感數(shù)據外泄。盡管Steam官方服務器未遭直接入侵，但其依賴的第三方服務商漏洞仍對玩家賬戶安全構成潛在威脅。

根據公開信息，攻擊者可利用泄露的元數(shù)據及路由信息，偽造高度仿真的釣魚消息或攔截2FA驗證碼，從而繞過用戶登錄保護。值得注意的是，Twilio旗下二次驗證應用Authy在2024年7月已曝出3300萬用戶綁定手機號泄露事件。

疊加此次API漏洞，進一步擴大攻擊面。歷史數(shù)據顯示，Twilio曾在2022年因員工憑證被竊導致125名客戶數(shù)據遭非法訪問，暴露出其安全防護機制的持續(xù)性缺陷。目前，Steam尚未發(fā)布針對此事件的專項聲明。安全專家建議玩家采取以下措施：

1. 啟用備用驗證方式：優(yōu)先通過Steam移動端令牌或第三方認證工具替代短信驗證；

2. 警惕異常消息：避免點擊來源不明的鏈接，尤其是包含“賬戶異?！薄膀炞C碼重發(fā)”等內容的信息；

3. 定期更新憑證：若手機號已綁定Steam賬戶，建議主動更換并核查關聯(lián)設備登錄記錄。

此次事件再次凸顯第三方服務商在關鍵安全鏈路中的系統(tǒng)性風險。類似案例包括2022年Uber因Slack服務器被入侵導致內部數(shù)據泄露，以及迪士尼因Slack漏洞致1.1TB數(shù)據外流。企業(yè)需強化供應鏈安全審計，建立多層防御體系以應對復雜攻擊鏈。

樂玩編輯部
發(fā)布作者