Steam gehört zu den größten Online-Plattformen weltweit und ist daher ein lukratives Ziel für Hacker. Den letzten großen Hack gab es vor 14 Jahren, ein Datendieb behauptet jetzt jedoch, 89 Millionen Daten von Spieler*innen entwendet zu haben. Das klingt schwerwiegend, der Datenklau ist aber offenbar nicht so dramatisch, wie befürchtet werden könnte.
Nicht Steam selbst wurde Opfer des Cyber-Angriffs
Darum geht's: Ein Hacker unter dem Pseudonym Machine1337 behauptet, dass 89 Millionen Nutzerdaten von Steam geleakt seien. Die Person sei im Besitz der dazugehörigen Datenbank und bietet sie für 5.000 Dollar zum Verkauf an. Das berichtet das isrealische Sicherheitsunternehmen Underdark.ai auf LinkedIn.
Angehangen ist außerdem ein Link zu einem kleinen Ausschnitt der Datenbank, um die Legitimität des Daten-Leaks zu unterstreichen. Wie Underdark schreibt, sind dort SMS-Logs für die Zwei-Faktor-Authentifizierung (2FA) von Steam zu finden.
Sie sollen über den Kommunikationsdienstleister Twilio verschickt worden sein und Nachrichteninhalte sowie zahlreiche Metadaten zu Telefonnummern enthalten. Zu Twilio gehört beispielsweise die 2FA-App Authy, die von der Streaming-Plattform Twitch genutzt wird.
Was sagen Twilio und Steam dazu?
Laut Twilio gab es bei der Firma kein Datenleck. Das Unternehmen hat den online gestellten Ausschnitt der Datenbank analysiert und konnte keine Hinweise erkennen, dass die Daten von dort abgeschöpft worden sind (via BleepingComputer). Stattdessen wird ein SMS-Provider vermutet, der als Schnittstelle zwischen Twilio und Steam dient.
Valve selbst hat sich noch nicht offiziell geäußert, gegenüber einem Journalisten soll ein Firmensprecher jedoch gesagt haben, dass Valve gar nicht mit Twilio direkt zusammenarbeitet:
CLARIFICATION/UPDATE: I have been contacted by a Valve representative, and they have stated that they do not use Trillio.
— Mellow_Online1 (@MellowOnline1) May 14, 2025
For clarity, also, as I have seen some news sites citing me as the source, as linked in my initial tweet, the source is a LinkedIn post by Underdark.
Es ist also noch nicht klar, ob das Datenleck tatsächliche Steam-Nutzerdaten enthält oder vielleicht gefälscht wurde. Die Vermutung steht jedoch im Raum, dass es sich um reale Daten handeln könnte.
Welche Daten wurden geleakt?
Experten, die sich den Datenbankausschnitt angeschaut haben, schreiben, dass es sich zu weiten Teilen um einmalige Login-Codes für Steam-Accounts und Verknüpfungsbestätigungen handelt.
Diese einmaligen Codes werden beispielsweise verschickt, sobald ihr eure Handy-Nummer als Zwei-Faktor-Methode eingerichtet habt. Sie sind wie erwähnt nur ein Mal nutzbar und verlieren schon nach wenigen Minuten ihre Gültigkeit.
Viele der Daten stammen laut BleepingComputer aus dem März, sie sind also noch recht frisch. Abseits der geleakten Telefonnummern lässt sich aber wohl nicht viel herauslesen, da Account-Namen, Passwörter oder Klarnamen nicht per SMS bei der Zwei-Faktor-Authentifizierung übertragen werden.
0:46
Schnapp sie dir alle - Im kommenden Steam Sale dreht sich alles ums Monstersammeln
Es ist außerdem davon auszugehen, dass nicht 89 Millionen Nutzer*innen gemeint sind, sondern der Leak 89 Millionen SMS-Daten enthält und einige Telefonnummern mehrfach auftauchen. Was auch Sinn ergeben würde, da bei jedem Login-Versuch die Codes verschickt werden.
Was solltet ihr jetzt tun?
Erstmal steht keine Befürchtung im Raum, dass eure Passwörter, E-Mail-Konten oder euer Account bedroht sind, da keine Daten von den Steam-Servern abgeschöpft wurden.
Es kann aber sicher nicht schaden, die Zwei-Faktor-Authentifizierung auf den SteamGuard umzustellen, der ohne Handy-Nummer auskommt. Genau wie ein neues Passwort zu vergeben und wie ihr dabei am besten vorgeht, erfahrt ihr hier:
Grundsätzlich heißt es tatsächlich aber erstmal abwarten, ob noch weitere Datensätze ans Tageslicht geraten und was diese enthalten. Eure Handynummer könnte nun aber tatsächlich ins Internet geraten sein, wenn auch vorerst ohne klare Verbindung zu euch. Sofern es sich eben nicht um eine Fälschung handelt, wie durch die beiden Dementi von Twilio und Valve suggeriert wird.
Wie schützt ihr euren Steam-Account? Könntet ihr vom Leak betroffen sein?
Nur angemeldete Benutzer können kommentieren und bewerten.
Dein Kommentar wurde nicht gespeichert. Dies kann folgende Ursachen haben:
1. Der Kommentar ist länger als 4000 Zeichen.
2. Du hast versucht, einen Kommentar innerhalb der 10-Sekunden-Schreibsperre zu senden.
3. Dein Kommentar wurde als Spam identifiziert. Bitte beachte unsere Richtlinien zum Erstellen von Kommentaren.
4. Du verfügst nicht über die nötigen Schreibrechte bzw. wurdest gebannt.
Bei Fragen oder Problemen nutze bitte das Kontakt-Formular.
Nur angemeldete Benutzer können kommentieren und bewerten.
Nur angemeldete Plus-Mitglieder können Plus-Inhalte kommentieren und bewerten.