Nej, Steam-lösenord är inte läckta

Jag hade fått ett spammail idag i vanliga inkorgen, från wisdommatthew2002

Mitt lösenord var ändå över 10 år gammalt så det var ändå dags att uppdatera.

Telefonnumren borde ju rimligen ha läckt i en sån här läcka, är inte det att betrakta som känslig information? Eller kanske inte om det inte finns någon direkt koppling till steam-konto eller andra personuppgifter?

Enligt Valves uttalande om incidenten har telefonnummer inte varit länkade till specifika konton, så de har kommit över nummer men ingen information om vilka konton (eller annan information) som är knutna till dessa nummer.

https://steamcommunity.com/games/593110/announcements/detail/...

Ja, så i det här fallet så är informationen som läckt bara att det finns vissa telefonnummer med tillhörande Steam-konton. Det är ju ändå något.

ett random telefonnummer räknas som en personuppgift men absolut inte en känslig sådan, så regelverket kring att lagra telefonnummer är lite lösare.

När Steam skickar koder via SMS finns där bara en engångskod, ingen kontoinformation. Vad de har kommit över är telefonnummer med tillhörande engångskoder som skickats via SMS och enligt Valve kan inget av detta användas för att få reda på användarnamn, lösenord eller annan kontoinformation.

Liksom en del andra så bytte jag mitt urgamla lösenord.
Men jag orkade inte byta på mitt andra steamkonto, där jag inte har loggat in på över sex år

Bytte lösenord ändå då mitt gamla var några år... så nu fick man en anledning

Ja precis, det är som jag skrev. Det som har läckt är informationen att telefonnummer X har ett Steam-konto, dock inte *vilket* Steam-konto.

Inte för att vara sådan, men om man vill hitta telefonnummer så kan man kolla på hitta.se. Där behöver man inte ens hacka sidan, den ger en dem "gratis". Man kan ju bara söka på 0000-000000, 0000-000001, o.s.v. Där får man t.o.m namn, adress och födelsedag.

Om man har sitt telefonnummer synligt där. Det har inte jag

Då är ditt telefonnummer säkert! Då kan man bara kolla det genom att bruteforceringa alla nummer som man inte hittar på hitta.se. Se om det går fram en signal eller inte.

Så vitt jag vet så ska det fungera i åtminstone andOTP (som tyvärr fortfarande är ett unmaintained projekt sedan ett par år tillbaka) och Aegis Authenticator, båda för Android då. Det kan behövas något extra steg för att lyckas dock, det finns miniguider.

Men som du säger så fick ju Valve gärna låta bli att köra med sitt egna format (en extra symbol och alfanumeriska tecken - visst, det är teoretiskt säkrare, men i praktiken är det enbart och endast osmidigt).