美國網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局（CISA）于2024年8月將Twilio Authy的信息泄露漏洞（CVE-2024-39891）列入已知利用漏洞目錄。此次漏洞涉及Twilio為Steam提供的雙重身份驗(yàn)證（2FA）服務(wù)。

導(dǎo)致包含消息內(nèi)容、發(fā)送狀態(tài)、元數(shù)據(jù)（時(shí)間戳、收件人號碼）及路由成本等敏感數(shù)據(jù)外泄。盡管Steam官方服務(wù)器未遭直接入侵，但其依賴的第三方服務(wù)商漏洞仍對玩家賬戶安全構(gòu)成潛在威脅。

根據(jù)公開信息，攻擊者可利用泄露的元數(shù)據(jù)及路由信息，偽造高度仿真的釣魚消息或攔截2FA驗(yàn)證碼，從而繞過用戶登錄保護(hù)。值得注意的是，Twilio旗下二次驗(yàn)證應(yīng)用Authy在2024年7月已曝出3300萬用戶綁定手機(jī)號泄露事件。

疊加此次API漏洞，進(jìn)一步擴(kuò)大攻擊面。歷史數(shù)據(jù)顯示，Twilio曾在2022年因員工憑證被竊導(dǎo)致125名客戶數(shù)據(jù)遭非法訪問，暴露出其安全防護(hù)機(jī)制的持續(xù)性缺陷。目前，Steam尚未發(fā)布針對此事件的專項(xiàng)聲明。安全專家建議玩家采取以下措施：

1. 啟用備用驗(yàn)證方式：優(yōu)先通過Steam移動(dòng)端令牌或第三方認(rèn)證工具替代短信驗(yàn)證；

2. 警惕異常消息：避免點(diǎn)擊來源不明的鏈接，尤其是包含“賬戶異?！薄膀?yàn)證碼重發(fā)”等內(nèi)容的信息；

3. 定期更新憑證：若手機(jī)號已綁定Steam賬戶，建議主動(dòng)更換并核查關(guān)聯(lián)設(shè)備登錄記錄。

此次事件再次凸顯第三方服務(wù)商在關(guān)鍵安全鏈路中的系統(tǒng)性風(fēng)險(xiǎn)。類似案例包括2022年Uber因Slack服務(wù)器被入侵導(dǎo)致內(nèi)部數(shù)據(jù)泄露，以及迪士尼因Slack漏洞致1.1TB數(shù)據(jù)外流。企業(yè)需強(qiáng)化供應(yīng)鏈安全審計(jì)，建立多層防御體系以應(yīng)對復(fù)雜攻擊鏈。

樂玩編輯部
發(fā)布作者