Im Mai 2025 sorgte ein beunruhigender Vorfall für Aufsehen in der Gaming-Community und unter IT-Sicherheitsexperten: Ein Hacker, der sich im Netz Machine1337 nennt, stellte im Darknet eine riesige Sammlung von Daten zum Verkauf, die angeblich 89 Millionen Datensätze von Steam-Nutzern enthalten. Besonders brisant an diesen Daten sind nicht nur persönliche Informationen wie Telefonnummern, sondern vor allem Einmal-Codes für die Zwei-Faktor-Authentifizierung (2FA), die üblicherweise für zusätzlichen Schutz bei der Anmeldung verwendet werden. Der Fund hat eine intensive Diskussion über die Sicherheit von Authentifizierungsverfahren und die Verantwortung von Dienstleistern ausgelöst. Die Quelle der Daten bleibt jedoch unklar. Viele Vermutungen konzentrieren sich auf das Unternehmen Twilio, das als Cloud-Service-Anbieter verschiedene Kommunikationsdienste bereitstellt, darunter auch die 2FA-Lösung Verify API, die von vielen Plattformen genutzt wird, um SMS-Codes an Nutzer zu senden.
Obwohl die veröffentlichten Daten technische Hinweise auf SMS-Logs enthalten, die mit Twilio in Verbindung gebracht werden, bestreitet Twilio vehement eine Kompromittierung seiner Systeme. Eine eingehende Untersuchung durch Twilio habe keine Hinweise auf einen Hack ergeben, so die offizielle Stellungnahme des Unternehmens. Die Entdeckung der Datensätze entstand durch den unabhängigen Journalisten und Analysten MellowOnline1, der die Gruppe SteamSentinels leitet und sich auf die Überwachung von Betrugsaktivitäten im Steam-Ökosystem spezialisiert hat. Er vermutet, dass der Leak eher aus einer Lieferkette resultiert, bei der möglicherweise ein SMS-Dienstleister zwischen Twilio und Steam zur Schwachstelle geworden sein könnte. Offenbar wurde keine direkte Sicherheitslücke bei Steam selbst identifiziert, was die Unternehmen Valve und Twilio ebenfalls bestätigen.
Dennoch gibt es Grund zur Vorsicht. Die veröffentlichten Daten umfassen SMS-Nachrichten mit zeitlich begrenzten Zugangscodes, die offensichtlich für legitime Steam-Anmeldungen genutzt wurden. Besonders erschreckend ist die Tatsache, dass einige dieser Nachrichten recht frisch sind und bis in das Frühjahr 2025 zurückreichen. Das bedeutet, dass potenziell aktive Accounts betroffen sind, deren Sicherheit gefährdet ist. Durch den Zugang zu den Zwei-Faktor-Codes könnten böswillige Akteure theoretisch Konten übernehmen, Einkäufe tätigen oder persönliche Daten stehlen.
Twilio bietet als führender Anbieter im Bereich Cloud-Kommunikationsdienste verschiedene API-Lösungen an, mit denen Unternehmen Authentifizierungsnachrichten sowie andere Mitteilungen wie Push-Benachrichtigungen oder Sprachanrufe an ihre Kunden senden können. Die Verify API, die auf zeitbasierten Einmalpasswörtern und SMS basiert, wird von vielen Plattformen eingesetzt, um einen zusätzlichen Schutz neben dem Passwort sicherzustellen. Das Hacker-Toolset Machine1337 scheint Zugang zu internen Logs oder Datenbanken gehabt zu haben, in denen dieses sensible Kommunikationsmaterial gespeichert war. Die Reaktionen auf den Vorfall waren vielfältig. Valve, Betreiber der Spieleplattform Steam, ließ durch einen Sprecher mitteilen, dass das Unternehmen keine Verbindungen mit Twilio als SMS-Dienstleister habe.
Diese Aussage wirft weitere Fragen zur genauen Herkunft der Daten auf, zumal der Leak eine komplexe Lieferkette und mehrere Dienstleister involvieren dürfte. Die Aufmerksamkeit aller Beteiligten liegt daher auf der Untersuchung potenzieller Sicherheitslücken entlang der Kommunikationspipeline. Für Steam-Nutzer hat der Vorfall direkte praktische Konsequenzen. Experten empfehlen, statt SMS als 2FA-Medium den Steam Guard Mobile Authenticator zu verwenden, eine App-basierte Lösung, die lokal Einmalcodes generiert und somit unabhängiger von externen Dienstleistern ist. Solche Verfahren gelten als wesentlich sicherer, da keine Nachrichten über das Mobilfunknetz übertragen werden müssen, die abgefangen oder kompromittiert werden könnten.
Darüber hinaus sollte jeder Nutzer seine Account-Aktivitäten regelmäßig überprüfen und ungewöhnliche Anmeldeversuche, Gerätewechsel oder Transaktionen sofort melden. Das Einrichten starker, individueller Passwörter bleibt ebenso essenziell wie der vorsichtige Umgang mit persönlichen Daten. Die Cyberkriminalität nimmt stetig zu, und komplexe Angriffsmethoden zielen verstärkt auf Sicherheitsmechanismen wie 2FA, die als letzte Verteidigungslinie gelten. Der Fall verdeutlicht auch die Herausforderungen für Unternehmen, die Cloud-Dienste und APIs als Grundlage für kritische Systeme nutzen. Eine umfassende Absicherung erfordert nicht nur die Sicherung eigener Systeme, sondern auch Vertragsmanagement, Überprüfung der Lieferkette und kontinuierliches Monitoring der externen Dienstleister.
Schwachstellen in einem Teil der Kette können komplette Sicherheitskonzepte unterlaufen und für gravierende Schäden sorgen. Diese Datenpanne unterstreicht zudem die zunehmende Bedeutung von Datenschutz und Transparenz. Nutzer haben ein Recht darauf, informiert zu werden, wenn mit ihren Daten unsachgemäß umgegangen wird oder Sicherheitsvorfälle auftreten. Während viele Unternehmen mittlerweile Rahmenwerke für Cybersecurity etabliert haben, bleiben Reformen im Bereich Datenschutz zum Schutze der Nutzer notwendig und dringend. Abschließend ist anzumerken, dass weitere Ermittlungen notwendig sind, um die Verantwortung und den Ursprung der Datensätze endgültig zu klären.
Die Sicherheitslandschaft entwickelt sich ständig weiter, und sowohl Unternehmen als auch Nutzer müssen wachsam bleiben und technische Neuerungen nutzen, um ihre digitalen Identitäten zu schützen. Der Steam-Datenleck-Fall ist ein eindringliches Beispiel für die Risiken, die in der Verknüpfung zwischengelagerter Dienste liegen, und für die Bedeutung moderner, sicherer Authentifizierungsverfahren in der digitalen Welt.
