Valve ontkent hack na datalek 89 miljoen telefoonnummers en verlopen 2fa-codes

Valve heeft gereageerd op een vermeend Steam-datalek. Het bedrijf zegt dat zijn systemen niet gehackt zijn. Onlangs zei een hacker in het bezit te zijn van 89 miljoen Steam-userrecords. Het bleek uiteindelijk om telefoonnummers en oude 2fa-codes te gaan, die per sms verstuurd zijn.

"We hebben de samples van het datalek onderzocht en vastgesteld dat dit geen inbreuk was op de Steam-systemen", schrijft Valve in een blogpost. "We zoeken nog steeds naar de bron van het lek, dat wordt verergerd door het feit dat alle sms-berichten onversleuteld verstuurd worden en langs meerdere providers worden geleid op weg naar je telefoon."

Valve bevestigt daarnaast dat het lek bestond uit oude 2fa-codes die per sms verstuurd zijn, naast de telefoonnummers waar die codes naartoe gestuurd zijn. De codes in kwestie waren slechts vijftien minuten na het versturen geldig en kunnen dus niet meer gebruikt worden. De uitgelekte telefoonnummers zijn niet te herleiden naar specifieke Steam-accounts.

Andere Steam-gegevens, zoals wachtwoorden, betaalinformatie of andere persoonsgegevens, zijn niet uitgelekt. Valve zegt dat gebruikers hun wachtwoord of telefoonnummer niet hoeven te wijzigen als gevolg van dit lek. Het bedrijf raadt wel aan om de Steam Mobile Authenticator in te schakelen.

De blogpost van Valve volgt op een hacker die claimde Steam-userrecords te verkopen. Het ging volgens de user in kwestie om 89 miljoen records, waarbij de hacker een gratis 'sample' van 3000 records deelde. BleepingComputer deed eerder al onderzoek naar het datalek en vond ook alleen 2fa-codes en telefoonnummers in het sample.

Er werd eerder gesuggereerd dat het datalek mogelijk afkomstig is bij communicatiebedrijf Twilio, maar dat is niet het geval. Twilio zei eerder al in een statement tegenover BleepingComputer dat er geen aanwijzingen zijn dat het gehackt is. Valve heeft inmiddels ook bevestigd dat het geen gebruikmaakt van Twilio.

Vorig nieuwsartikel Volgend nieuwsartikel

Door Daan van Monsjou

Nieuwsredacteur

Feedback • 15-05-2025 09:05 96

15-05-2025 • 09:05

Lees meer

Valve checkt games op compatibiliteit met SteamOS-apparaten zoals Legion Go S

Valve checkt games op compatibiliteit met SteamOS-apparaten zoals Legion Go S Nieuws van 14 mei 2025

Leaker: Half-Life 3 is volledig speelbaar, wordt nu geoptimaliseerd

Leaker: Half-Life 3 is volledig speelbaar, wordt nu geoptimaliseerd Nieuws van 5 mei 2025

Steam Deck komt niet meer in bootloop terecht na update

Steam Deck komt niet meer in bootloop terecht na update Nieuws van 2 april 2025

Lenovo brengt SteamOS-versie van Legion GO S in VS op 25 mei uit voor 550 dollar

Lenovo brengt SteamOS-versie van Legion GO S in VS op 25 mei uit voor 550 dollar Nieuws van 30 maart 2025

Steam bereikt record van 40 miljoen gelijktijdige gebruikers

Steam bereikt record van 40 miljoen gelijktijdige gebruikers Nieuws van 3 maart 2025

IDC: Steam Deck is veruit de populairste pc-gaminghandheld

IDC: Steam Deck is veruit de populairste pc-gaminghandheld Nieuws van 25 februari 2025

Valve verbiedt games met in-game ads als bedrijfsmodel op Steam

Valve verbiedt games met in-game ads als bedrijfsmodel op Steam Nieuws van 10 februari 2025

Gerucht: Valve is begonnen met testen Half-Life 3

Gerucht: Valve is begonnen met testen Half-Life 3 Nieuws van 30 december 2024

Gerucht: Valve werkt aan Steam-console met ingebouwde HDMI-poort

Gerucht: Valve werkt aan Steam-console met ingebouwde HDMI-poort Nieuws van 8 december 2024

Valve publiceert richtlijnen voor gebruik SteamOS-logo door hardwarefabrikanten Nieuws van 5 december 2024

Meer producten en artikelen

Beveiliging en antivirus Games Steam Valve Datalek

Reacties (96)

Hydranet 15 mei 2025 09:29

Ik heb gisteren toch maar voor alle zekerheid mijn wachtwoord en mail adres van mijn Steam account gewijzigd.

valhellis @Hydranet • 15 mei 2025 09:31

Als dit nodig was had je dat allang gehoord van valve.

Nu is het sowieso raadzaam om dit elke 6 maanden te doen en een uniek password voor elk account.

Klauwhamer @valhellis • 15 mei 2025 09:50

Een veilig wachtwoord is een veilig wachtwoord. Pas wanneer er goede aanleiding is te veronderstellen dat je wachtwoord gecompromitteerd is, wijzig je deze. NIST adviseert overigens ook niet langer periodiek wachtwoordwijzigen toe te passen (bron (3.1.1.2)) omdat gebleken is dat het een incentive is voor juist zwakkere wachtwoorden.

Een uniek wachtwoord per set credentials is een puik idee, evenals heel lange wachtwoorden (passphrases) al dan niet voor je wachtwoordkluis, waarin gegenereerde wachtwoorden zitten van je manager.

watercoolertje @Klauwhamer • 15 mei 2025 10:10

NIST adviseert overigens ook niet langer periodiek wachtwoordwijzigen toe te passen (bron (3.1.1.2)) omdat gebleken is dat het een incentive is voor juist zwakkere wachtwoorden.

Met dat gegeven kan je je wachtwoord dus ook bewust niet simpeler maken toch

Overigens bedenk ik mijn eigen wachtwoorden helemaal niet meer. Die genereer ik gewoon met mijn passwordmanager en worden daar echt niet simpeler van (sterker nog die laat ik vaak extra lange passwords maken).

Niet dat ik alles perodiek aanpas, ik heb al 20+ jaar steam (denk ik, vanaf dag 1 voor CS1.5) en hetzelfde 5 cijferige wachtwoord

[Reactie gewijzigd door watercoolertje op 15 mei 2025 10:14]

supe @watercoolertje • 15 mei 2025 10:15

Ze bedoelen in de praktijk, gemiddeld genomen. Dat wil zeggen: in bijvoorbeeld een organisatie waar non-IT personeel gebruikt maakt van IT-diensten zoals PC, e-mail, ERP/CRM systemen etc.
Uit onderzoek blijkt dat deze groep vaak minder veilige wachtwoorden kiest omdat het toch elke x maanden aangepast moet worden. Het onthouden van een complex wachtwoord is dan moeilijker.
Ik heb dit in de praktijk ongeveer 15 jaar geleden al ontdekt, en toen gepleit voor een ander beleid binnen mijn organisatie. Dit kwam er niet door. Ik ben blij dat NIST dit nu onderbouwd heeft en een gedegen advies uitdraagt.

[Reactie gewijzigd door supe op 15 mei 2025 10:16]

icecreamfarmer @supe • 15 mei 2025 11:16

Jep ik ben er een.
Je bent zo door de wachtwoorden heen die je kunt onthouden dus het is telkens wachtwoord +1.

ibmpc @icecreamfarmer • 15 mei 2025 19:44

Een beetje achtergrond hierbij in de vorm van een verhaaltje. Dit verhaal is wel enigszins aangedikt, maar het toont wel aan waarom een wachtwoord in het algemeen gewoon een slecht idee is, ook al heb je MFA:

Het eerste wachtwoord was "pencil" (uit de bekende film die toen al aantoonde dat wachtwoorden achterhaald waren). Men vond dit niet veilig genoeg, dus kwam er de eis voor een hoofdletter. Hoe veel gebruikers zouden "penciL" als wachtwoord kiezen? Ik denk niemand, dus het werd "Pencil". Dat was niet veilig genoeg, dus werd een cijfer verplicht. Zouden er echt gebruikers zijn die 9 als cijfer kiezen? Ik dacht het niet. "Pencil1" it is. Nog steeds weet iedere hacker gewoon binnen te komen. Oke, de volgende verbetering was iets beter. Een vreemd karakter. Vrijwel alle wachtwoorden werden "Pencil1!", "Pencil1?" of "Pencil1." Nog prima te brute-forcen binnen de 10 pogingen. Dan maken we maar een verplichte wachtwoordwijziging. Iedere idioot snapt dat het wachtwoord na 42 dagen "Pencil2!" is. Je kunt precies op LinkedIn vinden hoe lang iemand in dienst is, dus je weet het wachtwoord al.

De idioterie van complexe wachtwoorden en wachtwoordwijzigingen, zelfs nadat de bekende film het in de jaren '80 had blootgesteld, is echt onbegrijpelijk. We zijn 40 jaar verder en nog steeds gebruiken we een retarded systeem om in te loggen. Het is gebruikersonvriendelijk en het is onveilig. MFA was een tijdelijke pleister maar is ook allang achterhaald. De EU zou zich met nuttige dingen moeten bezig houden, zoals een wettelijk verbod op wachtwoorden.

protected22 @ibmpc • 16 mei 2025 08:49

Volgens mij is Microsoft daarom wachtwoorden aan het weghalen bij accounts en vervangen voor een pin (juist onveliger lijkt me?), faceID of fingerprint. Volgens mij was er laatst een artikel voor. nieuws: Nieuwe Microsoft-accounts worden standaard wachtwoordloos

IlIlIllII @icecreamfarmer • 15 mei 2025 12:14

Same here. Ik heb minstens tien accounts op m'n werk voor allerlei systemen. En die moeten allemaal een uniek, complex wachtwoord hebben? Dat elke X aantal maanden moeten worden gewijzigd? Ook moet je op sommige systemen met een on-screen toetsenbord werken en die met je muis bedienen of vinger bedienen. Voordat je bent ingelogd ben je vijf minuten verder. Dat is gewoon niet te doen

Ik pak altijd het huidige seizoen + jaartal. Nu heeft m'n (Amerikaanse) organisatie laatst de regels aangescherpt en mag je geen maanden of seizoenen meer gebruiken in je wachtwoorden, maar dat geldt natuurlijk alleen voor de Engelse benamingen. Woorden zoals Herfst of Lente worden niet herkend muhahaha

Valve
Games

@IlIlIllII • 15 mei 2025 12:44

Dat is wel echt bewust iets wat makkelijk te raden is gebruiken en vind ik best wel verwijtbaar... Stel dat een aanvaller met jouw account flinke schade kan doen. Zelfs als er bv ook een firewall is, als ze op een andere manier daar doorheen komen en dan met jouw account verder, daar wil je toch niet verantwoordelijk voor zijn?

Dat je niet iedere keer een complex nieuw wachtwoord verzint snap ik, maar ik heb daarom een zin die ik onthoud en dan de eerste letter van elk woord typ, aangevuld met een cijfer ergens (liefst niet aan het begin of einde) en dat cijfer hoog ik op als er een nieuwe nodig is. En dat dan voor werk, voor prive heb ik een password manager.

icecreamfarmer @Finraziel • 15 mei 2025 14:02

Dan moeten ze met een betere policy komen.
Ik lig daar geen moment wakker van.

CodeCaster @icecreamfarmer • 15 mei 2025 11:33

Welkom2025!Q2

Miglow @supe • 15 mei 2025 12:34

Je hebt nog nooit gehoord van Post-it?

supe @Miglow • 15 mei 2025 13:38

Ik had daar een Account manager rondlopen die op de eerste pagina van zijn mapje aantekeningen (die altijd op het bureau lag, onder zijn toetsenbord) een lijst had met al zijn wachtwoorden van de voorgaande jaren, inclusief de meest recente. Ik ben toen huilend het kantoor uit gelopen.

icecreamfarmer @Miglow • 15 mei 2025 14:01

Ook een goede idd.
Ik heb die wel cryptisch omschreven in mijn bureau liggen.

bamboe @icecreamfarmer • 15 mei 2025 17:23

Laatst maar aangeraden om cijfercode voor een deur op werk in het telefoonboek van je mobiel te zetten met de code verweven in het 06 nummer. Was hard nodig nadat ik de code op een briefje in de zaal gevonden had de eerste die dacht dat het van haar was bleek toch nog haar briefje met de code in haar tas te hebben, persoon van wie het dan wel was bleef heel stil...

cnieuweboer @watercoolertje • 15 mei 2025 10:18

Met een wachtwoord manager kun je random wachtwoorden zo lang en complex maken dat brute force compleet onmogelijk wordt. Ik zie voor de meeste accounts niet een heel goede reden om zo'n wachtwoord elke 6 maanden te wijzigen.

/edit
Never mind, je laatste alinea was er nog niet toen ik mijn reactie begin te schrijven.

[Reactie gewijzigd door cnieuweboer op 15 mei 2025 10:20]

valhellis @cnieuweboer • 15 mei 2025 10:33

Het enige nadeel wat ik zelf wel eens heb ondervonden is dat als je bijvoorbeeld 20+ tekens laat genereren en dat dan copy paste doet in het nieuw wachtwoord veld en je password laat aanpassen dat dit prima gaat.

Dan daarna wil je inloggen en werkt het wachtwoord niet omdat het veld maximaal 16 tekens accepteerde en dit nergens stond

[Reactie gewijzigd door valhellis op 15 mei 2025 10:34]

vrow @valhellis • 15 mei 2025 11:01

Ja, dat is een leuke he.
Dan even ontdekken hoeveel tekens wel konden en je nieuwe wachtwoord daar afknippen.
Maar het is onnozel dat het wachtwoord bij het instellen wordt afgeknipt maar het het inlog-venster wel je hash berekent over het volledige (lange) wachtwoord.
Heb dit ook een paar keer gehad, eerst twijfel je aan jezelf...

Daoka @cnieuweboer • 15 mei 2025 12:33

Brute force wordt inderdaad lastig. Maar dat betekent niet dat je wachtwoord altijd veilig is. Dan denk ik aan keyloggers of bijvoorbeeld programma's die de clipboard kunnen uitlezen, programma's die je scherm uitlezen of de microfoon die afgeluisterd wordt terwijl ze tijdens het typen je wachtwoord zegt. Ik verwacht bijvoorbeeld dat de meeste mensen niet kijken naar de rechten als ze een app installeren op de telefoon dus zulke dingen zouden zo maar geïnstalleerd kunnen zijn zonder dat men dit weet.

karelvandongen @Daoka • 15 mei 2025 20:12

Daarom is 2 factor ook erg belangrijk !

Daoka @karelvandongen • 15 mei 2025 22:29

Klopt. Maar daarom vind ik het vreemd dat er wordt geadviseerd om je wachtwoord maar eenmalig sterk ingesteld moet worden. Natuurlijk kan het veranderen kan op zich ook problemen geven met deze dingen. Het ligt er maar net aan wanneer je besmet ben en wachtwoord veranderd. Maar als je het nooit veranderd en het is gelekt is dan wordt het nooit veilig.

En als je 2fa is sterker wachtwoord echt veel veiliger dan een zwak wachtwoord? Iets wel natuurlijk maar veel?

Klauwhamer @watercoolertje • 15 mei 2025 10:19

Maar 'simpel(er)' betekent niet per definitie 'zwak(ker)'? Ik denk dat ik je grapje niet begrijp.

En ik mag hopen dat jouw manager wachtwoorden genereert met serieuze entropie. Een wachtwoord gebruiken van vijf cijfers is.. Nou ja, ik vind daar wat van.

Datalek
Beveiliging en antivirus

@valhellis • 15 mei 2025 09:53

Het is helemaal niet raadzaam om dat elke paar maanden te doen. Dat is gewoon tijdverspilling. Als je honderden accounts hebt ben je dagen bezig met die wachtwoorden overal aan te passen. Dat doe je simpelweg niet.

Het is belangrijk om een sterk wachtwoord te hebben, en die sterke komt niet uit complexiteit, maar wel uit lengte. Het is belangrijk dat je overal een uniek wachtwoord gebruikt, zodat een lek op 1 platform geen lek op andere platformen veroorzaakt. En het is belangrijk om goede MFA te hebben.

Robbierut4 @Blokker_1999 • 15 mei 2025 10:00

Als je honderden accounts hebt ben je dagen bezig met die wachtwoorden overal aan te passen.

Tip hiervoor is om ongebruikte accounts te (laten) verwijderen. Ik schrok laatst van hoeveel accounts er in mijn passwordmanager stonden dus ben langzaam oude ongebruikte accounts aan het afsluiten.
Steeds meer websites hebben de optie direct in een menu staan, ideaal.

Accounts die niet bestaan kunnen ook niet gehackt worden

Los daarvan, elke paar maanden je ww aanpassen is inderdaad zinloos, zeker met unieke wachtwoorden.

valhellis @Robbierut4 • 15 mei 2025 10:28

Los daarvan, elke paar maanden je ww aanpassen is inderdaad zinloos, zeker met unieke wachtwoorden.

Bij accounts waar betaal informatie gekoppeld is of in staat raad ik dit wel aan. Voor tweakers.net heeft het geen nut natuurlijk.

[Reactie gewijzigd door valhellis op 15 mei 2025 12:23]

SgtElPotato @Robbierut4 • 15 mei 2025 11:26

Ben zelf laatst bezig geweest om alles bij o.a. Gmail weg te halen en daarmee gelijk ook alles op te schonen en hetgeen wat allemaal weg kon of overbodig is was echt gigantisch. Ben blij dat ik het uiteindelijk gedaan heb.

Robbierut4 @SgtElPotato • 15 mei 2025 11:30

Ja hier ook. Heb al ruim 80 accounts gesloten en ben nog niet klaar. Absurd hoeveel accounts je over de jaren bij elkaar verzameld.

SgtElPotato @Robbierut4 • 15 mei 2025 11:33

Ondertussen ook al een hoop waarbij mijn gegevens niet meer bekend waren (zo lang niet gebruikt dat ze zelf besloten het te sluiten gok ik).

Datalek
Beveiliging en antivirus

@valhellis • 15 mei 2025 09:51

Het is veel te simpel om te doen alsof niets vernemen de betekenis heeft dat je account niet getroffen is.

Omdat er geen duidelijkheid is hoe
bedrijven voorkomen dat ze individuele klanten onterecht niet op tijd op de hoogte stellen. Ze doen hopelijk hun best, maar dat is niet hetzelfde als fouten voorkomen en op tijd rechtzetten. En het is niet heel verstandig om te blijven hopen dat fouten of andere oorzaken op jou geen invloed hebben als er aantoonbaar fouten gemaakt worden om miljoenen klanten behoorlijk te beschermen.

[Reactie gewijzigd door kodak op 15 mei 2025 10:03]

valhellis @kodak • 15 mei 2025 10:30

Als je steamguard of een 2fa gebruikt moet het bijna onmogelijk zijn toegang te verkrijgen tot je account tenzij ze jouw specifiek moeten hebben en social hacking gaan toepassen om bijvoorbeeld bij je provider een nieuwe simkaart te verkrijgen

Datalek
Beveiliging en antivirus

@valhellis • 15 mei 2025 14:09

Dat ben ik met je eens, maar dat is een ander argument.

Hydranet @valhellis • 15 mei 2025 09:31

Ik had dit gisteren al gedaan "voor dat" deze informatie bekend was, toen er alleen bekend was dat Steam was gehackt.

valhellis @Hydranet • 15 mei 2025 09:36

Dan nog had valve dit gecommuniceerd als je risico liep met je account informatie. Dit zijn ze verplicht zsm te doen.

[Reactie gewijzigd door valhellis op 15 mei 2025 09:40]

Hydranet @valhellis • 15 mei 2025 09:37

Dan het kan ook geen kwaad om een keer mijn wachtwoord te wijzigen.

@Hydranet • 15 mei 2025 09:38

Heb je ook Steam Guard?

Hydranet @nzall • 15 mei 2025 09:40

Ja maar 2FA is ook niet prefect, daarbij is het nog steeds niet slecht een keer je wachtwoord te wijzigen.

Viscerous @valhellis • 15 mei 2025 09:41

Nu is het sowieso raadzaam om dit elke 6 maanden te doen

Mits je dat consistent kan doen zonder het makkelijker voor jezelf te maken.

valhellis @Viscerous • 15 mei 2025 10:25

Een beetje tweaker gebruikt een password manager, en dit hoeft geeneens geld te kosten, bitwarden en keepass zijn gratis

Viscerous @valhellis • 15 mei 2025 10:34

Ik draai mijn eigen Vaultwarden instantie, maar dit valt ook gewoon onder "het makkelijker maken voor jezelf". Als je een password vault gebruikt moet je je eveneens kenbaar maken met de nadelen ervan.

valhellis @Viscerous • 15 mei 2025 10:49

Bij bitwarden en 1password dan tenminste, als het hoofdwachtwoord gecomprimeerd is kun je hier niet mee inloggen tenzij je de secret key of master key bij de hand hebt.

Deze krijg je na het maken van je account in een document die je veilig moet opslaan.

Daarnaast kun je ook nog 2fa op je account zetten wat het nog eens extra veilig maakt.

Ik denk dat ze toch heel wat aan de hand moeten halen voor ze in mijn password kluis kunnen rondkijken.

[Reactie gewijzigd door valhellis op 15 mei 2025 12:24]

Die_ene_gast @valhellis • 15 mei 2025 11:27

Als dit nodig was had je dat allang gehoord van valve.

Afwachtende houdingen zijn bijna nooit goed.

Nu is het sowieso raadzaam om dit elke 6 maanden te doen en een uniek password voor elk account.

Ik zou graag de onderbouwing daarvan zien. Vroeger zei het NIST elke 3 maanden, tegenwoordig alleen bij verdenking van lekken.

Martinez- @valhellis • 15 mei 2025 10:48

Kunnen we niet langzaam gaan concluderen dat wachtwoorden heel erg passé zijn? Het feit dat we complete managers nodig hebben om elk account bij te kunnen houden is bizar.

Overigens heb ik gewoon nog altijd een offline, papieren passwordmanager. Geen hacker oid die daar bij komt

. Ja, ook dat is passé.

[Reactie gewijzigd door Martinez- op 15 mei 2025 10:54]

vickypollard @Martinez- • 15 mei 2025 11:09

De vervanger die ons nu opgedrongen wordt (passkeys) vereist ook een soort manager, alleen ben je daar niet zo bewust mee bezig.

valhellis @Martinez- • 15 mei 2025 10:51

Het gaat er niet perse om dat je ze bij kunt houden maar juist de ingewikkelde wachtwoorden kunt genereren die aan de hoogste veiligheidseisen voldoet.

Martinez- @valhellis • 15 mei 2025 10:55

Dat kan je ook zonder een passwordmanager. Het feit dat je nergens anders centraal kunt controleren waar een account op je naam staat vind ik vele malen erger.

SuperDre @Hydranet • 16 mei 2025 00:16

Mag toch hopen dat je ook Steamguard geactiveerd hebt, want alleen een wachtwoord is natuurlijk erg gevaarlijk.

Hansie9999 15 mei 2025 09:33

Goh,

geen beveiligingsprobleem dan, maar wel super kut dat de GSM nummers nu weer eens extra bij alle spammers en telemarketers terechtkomen !!

mijn blocklist op de GSM gaat weer groeien vermoed ik

Heroic_Nonsense

@Hansie9999 • 15 mei 2025 09:50

Mijn ervaring is dat die clubs gewoon alle mogelijke combinaties van 0600000000 tot en met 0699999999 afbellen en aantekeningen maken als er wordt opgenomen, dus ik weet niet of je hierdoor meer spam gaat krijgen.

@Heroic_Nonsense • 15 mei 2025 10:39

Dit soort cold calling mag al jaren niet meer.

geert1 @Polderviking • 15 mei 2025 10:55

Spammers houden zich niet aan wat mag.

@geert1 • 15 mei 2025 12:42

Allicht niet.
Maar telemarketers als het goed is wel.

Heroic_Nonsense

@Polderviking • 15 mei 2025 14:43

Het mag niet, en toch doen ze het. Net als dat robodialing niet mag (meerdere nummers tegelijk bellen en zodra de eerst opneemt, de andere verbindingen verbreken).

Ik heb ze wekelijks wel aan de telefoon. Eerst op mijn zakelijke nummer, die ze uiteraard uit het handelsregister halen, ook al heb je bij de KvK duidelijk aangegeven dat de inkoper van die data mijn nummer niet op die manier mag gebruiken.

Maar sinds een tijdje bellen ze me ook op mijn privenummer, dat niet in het handelsregister staat. Als ze mijn privenummer bellen, bellen ze een consument en is wet- en regelgeving van toepassing waar in staat dat het niet mag. Ik ben immers geen klant bij ze (ook nooit geweest).

En als je dat zegt, dan praten ze er over heen, of worden ze onbeschoft. En een paar dagen later bellen ze weer, alsof er niets aan de hand is. Ook steeds met verschillende telefoonnummers overigens, zodat blokkeren lastiger is.

Maar goed, als ik het item hierover uit Lubach van gisteravond bekijk, snap ik wel dat het ze geen derrière interesseert. Wat een droeftoeters werken er bij die bedrijven zeg.

jellepepe @Heroic_Nonsense • 15 mei 2025 14:59

Uit interesse: Als je ze zo vaak aan de lijn hebt, waarom neem je deze op dan?

Ik snap dat voor een zakelijke telefoon wellicht normaal is om door onbekende nummers gebeld te worden, maar prive is het voor mij nooit een probleem, ik neem simpelweg nooit op als ik het nummer niet herken

Heroic_Nonsense

@jellepepe • 15 mei 2025 16:18

Ze bellen met geografische nummers, die steeds anders zijn. Rotterdam, Zevenaar, Amsterdam, Arnhem...

Aangezien (nieuwe) klanten mij bellen op mijn zakelijke nummer, neem ik die wel op ja. Als ik merk dat het marketing is, blokkeer ik het nummer. Maar de volgende keer bellen ze weer met een ander nummer.

ArawnofAnnwn @Heroic_Nonsense • 15 mei 2025 16:59

Mijn telefoon geeft aan als het doorgeschakelde nummers zijn. Vaak bellen ze vanuit andere landen. Ik heb geen idee hoe het werkt op mijn toestel. Ik zit op Android. Ik zie dan op mijn scherm bijvoorbeeld dat er gebeld word vanuit Zwitserland/Turkije/Albanie en doorgeschakeld is via Rotterdam/Brussel/Groningen. Dat gebeurd bij mij bij 90% van de scam telefoontjes. Staat direct op het scherm als ik mijn telefoon pak omdat ik gebeld word.

Heroic_Nonsense

@ArawnofAnnwn • 15 mei 2025 17:00

Dat klinkt als een nuttige feature.

Helaas zit ik op iOS, dus hopelijk komt dat ooit ook deze kant op.

@Heroic_Nonsense • 15 mei 2025 18:53

Ik geloof je hoor. Het was niet de bedoeling je ervaring tegen te spreken.

Maar ik wordt echt nooit gebeld, ondanks dat ik al een jaar of twintig hetzelfde telefoonnummer heb en het nummer aan elk bedrijf geef die er om vraagt.
Als ze echt nog gewoon heel plat nummerreeksen af zitten te bellen zou je verwachten dat ik wel eens een keer aan bod was gekomen onderhand.

Die_ene_gast @Polderviking • 15 mei 2025 11:29

Haha, ja want criminelen houden zich aan de wet.
Gelukkig hebben ze moord illegaal gemaakt, gelijk opgelost.

Hansie9999 @Polderviking • 15 mei 2025 11:40

Tja, als het feit dat "iets niet meer mag" een crimineel/slechte persoon zou stoppen, dan zou de wereld wel een pak beter zijn natuurlijk,

Azenomei @Polderviking • 15 mei 2025 11:53

Ik zal het zeggen tegen de gemiddeld 2x per week bellende bot met random nummers.

NorMath @Polderviking • 15 mei 2025 14:40

Zal ik de volgende keer zeggen tegen Apu die zich voordoet als Michael Johnson, of de automated bot, en bibberen dat ze zullen doen.

Edit: Wat is dat de laatste tijd met die nieuwe corona lockdown accounts.

[Reactie gewijzigd door NorMath op 15 mei 2025 14:40]

Valve
Beveiliging en antivirus
Datalek

@Hansie9999 • 15 mei 2025 10:15

mijn blocklist op de GSM gaat weer groeien vermoed ik

Zolang telecom operators number spoofing toestaan zal die blijven groeien.

Hansie9999 @The Zep Man • 15 mei 2025 11:37

Ik weet het,

maar geen probleem, mijn huidige telefoon heeft 512GB opslag ruimte

SuperDre @Hansie9999 • 16 mei 2025 00:17

Ik vraag me dan toch af wat jij allemaal doet, want ik heb zelf nog nooit spam gehad via sms of whatsapp...

Luchtbakker 15 mei 2025 09:17

Telefoonnummers en oude 2fa-codes kunnen ook gewoon achterhaald zijn bij de provider met wie Valve samenwerkt om deze 2fa codes te versturen.

Dit lijkt mij daarom niet iets wat per definitie alleen bij Valve kan liggen.

[Reactie gewijzigd door Luchtbakker op 15 mei 2025 09:58]

Beveiliging en antivirus

@Luchtbakker • 15 mei 2025 09:41

Toch is het frappant dat het hier alleen codes van Steam betreft. Als providers of tussenpartijen gehackt zijn, zou je verwachten dat andere bedrijven ook getroffen zijn. Als Steam zelf gehackt zou zijn, zou er veel meer gelekt zijn dan alleen 2FA-codes.

De tussenpartij die de SMS'jes stuurt hoeft zelf niet gehackt te zijn. Het kan ook een geraden wachtwoord of gelekte API-key van Valve's account zijn, het hoeft geen "echte" hack te zijn natuurlijk. In dat geval zou ik de schuld wel bij Valve leggen, al is het niet direct hun systeem dat lek is.

Bender @GertMenkel • 15 mei 2025 09:47

Misschien zijn andere bedrijven ook getroffen, maar is Valve de grootste klant en is het interessanter om die (eerst) te targetten.
Er valt bij Valve meer te halen dan bij de SMS dienstverlener.

TheVivaldi @Bender • 15 mei 2025 10:29

Dat kan ook. Of de andere getroffen partijen hebben gewoon nog niet gereageerd. De een is daar sneller in dan de ander.

nasdude @Luchtbakker • 15 mei 2025 09:22

Vet

bapemania @nasdude • 15 mei 2025 09:27

Maar geen All CAPS.

Tostie1987 15 mei 2025 10:01

Het probleem dat ik heb met constant maar nieuwe wachtwoorden is dat ik ze uiteindelijk niet meer onthoud. Ik weet wel dat er van die veilige wachtwoorden of sleutels bestaan, maar om dit te synchroniseren tussen mobiel, werken op een andere plek en de pc thuis vind ik nog een uitdaging. Vandaar dat het voor hackers lucratief kan zijn om deze wachtwoorden (die waarschijnlijk al heeeeeeel lang achter elkaar worden gebruikt) te verkrijgen en uiteindelijk te verkopen.

@Tostie1987 • 15 mei 2025 10:10

Met een wachtwoordmanager los je dit allemaal op. Je hebt zelfs wachtwoordmanagers die je waarschuwen als je wachtwoord is gevonden in een datalek.

Tostie1987 @joeri1 • 15 mei 2025 11:09

Ja, daar ben ik dus altijd benieuwd naar hoe dat werkt. Heb jij een aanbeveling van een goede wachtwoordmanager en eventueel een aanbeveling van een filmpje op YouTube met goede uitleg?

@Tostie1987 • 15 mei 2025 11:20

Ikzelf gebruik Dashlane echter zijn Bitwarden en 1Password ook goede producten. Je zult zelf even moeten kijken wat het beste bij je past. Vaak kun je ze ook vrijblijvend uitproberen. Op YouTube zijn hier genoeg video's over te vinden. Succes.

mopringles 15 mei 2025 09:41

Aan een telefoonnummer dat niet gekoppeld is aan een persoon/account heeft een spammer en een telemarketeer toch helemaal niets? Dat is hetzelfde als een willekeurig telefoonnummer op je telefoon intikken. Volstrekt willekeurig dus.

@mopringles • 15 mei 2025 09:46

Maar je hebt wel een subgroep van de samenleving te pakken, namelijk gamers. Voor sommige marketeers kan dit interessant zijn.

MN-Power @MatHack • 15 mei 2025 10:34

Je weet niet alleen dat het een gamer is, maar ook dat het een gamer met (waarschijnlijk een PC en) Steam is. Voor phishing helaas interessante informatie. En als dat nummer ook op andere lijsten voorkomt heb je nog meer informatie natuurlijk.

[Reactie gewijzigd door MN-Power op 15 mei 2025 10:35]

kasperkb @mopringles • 15 mei 2025 09:48

Ja exact, als ik een lijst zou maken met alle Nederlandse 06 nummers, dan heb ik 10⁸ varianten (honderd miljoen), er zitten er dan vast een paar kloppende bij.

Bender @mopringles • 15 mei 2025 09:49

Het hoeft niet volstrekt willekeurig te zijn, ze kunnen de gehackte lijst natuurlijk matchen met hun eigen database.
Als daar volledige overlap in zit (met foutmarge ivm wijzigingen) dan kan het wel aannemelijk zijn dat het niet zo willekeurig is.

Voice phishing, dus iemand van 'Valve' belt de klant dat ze problemen ondervinden met het account en of hij telefonisch zijn 2fa kan geven.

Backspin @mopringles • 15 mei 2025 09:49

Een telemarketeer niet, maar een hacker wel. Van alle nummers weet je dat het steam-gebruikers ziijn. Dus de kans van slagen bij phishing/social engineering is groter als een hacker een bericht stuurt namens 'Valve', omdat de ontvanger weet dat Valve zijn nummer heeft.

@mopringles • 15 mei 2025 10:03

Een spammer heeft daar zeker wel wat aan. Bel een willekeurig persoon op, grote kans dat hij op neemt met zijn naam. Daarnaast kun je aan de hand van telefoonnummer vaak op facebook etc. ook personen achterhalen. Vul een telefoonnummer in op je telefoon en open whatsapp. Zoek de persoon en vaak krijg je de naam en foto te zien. Die kun je weer cross referencen met andere bronnen die je hebt.

Of je belt de persoon en zegt dat je van Valve bent en dat er iets is met hun Steam account. Leidt ze naar een bepaalde pagina en laat ze daar inloggen... hoppa, toegang tot hun account. Wat mensen kunnen door zich voor te doen als bankmedewerker, kun je ook doen met een andere 'afzender'.

Valve
Beveiliging en antivirus
Datalek

15 mei 2025 09:27

Duidelijk bericht en communicatie. Kort, krachtig, concreet, en alles wat klanten moeten weten. Ook geen wollige marketingspeak die begint met "we care about your privacy", wat vaak komt vanuit bedrijven die wel gehackt zijn.

We’re still digging into the source of the leak,

Minder zeggen dat je geeft om de privacy van je klanten en meer doen. Zo zie ik het graag.

[Reactie gewijzigd door The Zep Man op 15 mei 2025 09:29]

FrostyPeet 15 mei 2025 10:29

Van dit soort bedrijven wordt ik doodmoe. Dat downplayen, is niet te herleiden, moeilijk moeilijk moeilijk, yadayada van een of andere communicatie medewerker en een bedrijfsjurist.

Er is informatie gelekt dat niet gelekt mag worden. Dat zijn dus actieve telefoonnummers die helemaal kapot gespamd gaan worden met viagra reclame en phishing. Of het nu gestolen is, gelekt, verkocht is door een corrupte medewerker, het doet er niet toe. Er ging iets fout bij hen en de gebruikers mogen het weer lekker uitzoeken.

CodeCaster @FrostyPeet • 15 mei 2025 11:38

Er ging iets fout bij hen

Als het alleen om telefoonnummers en 2FA-codes gaat, is het waarschijnlijker dat er iets bij een SMS-provider is gelekt. Dan is er dus bij Valve/Steam zelf niets misgegaan.

Lodd @CodeCaster • 15 mei 2025 12:46

Nou ja, valve heeft wel een bepaalde ketenverantwoordelijkheid. Zij selecteren immers een bepaalde leverancier voor een dienst die ze inkopen. Daar kunnen ze ook eisen aan stellen.

Ik zie valve hier niet wegduiken voor de verantwoordelijkheid, maar je wilt ook niet dat bedrijven lekker naar elkaar gaan wijzen als er iets mis gaat.

Aaargh! @Lodd • 15 mei 2025 12:50

Zij selecteren immers een bepaalde leverancier voor een dienst die ze inkopen. Daar kunnen ze ook eisen aan stellen.

Het is SMS, het maakt niet uit welke leverancier je neemt want SMS is per definitie onveilig. Je kan ze hooguit aanrekenen dat ze überhaupt 2FA via SMS als optie aanbieden want bij SMS mag je precies 0,0 verwachten qua veiligheid.

Aldy @Aaargh! • 15 mei 2025 16:06

[...]

Het is SMS, het maakt niet uit welke leverancier je neemt want SMS is per definitie onveilig. Je kan ze hooguit aanrekenen dat ze überhaupt 2FA via SMS als optie aanbieden want bij SMS mag je precies 0,0 verwachten qua veiligheid.

Dat neemt niet weg dat ze nog steeds verantwoordelijk zijn voor het beschermen van jouw en mijn gegevens. Jij en ik hebben immers een overeenkomst met Valve en niet met hun leverancier, dat is een interne kwestie van Valve, waar wij niets mee te maken hebben.

hawke84 @Lodd • 15 mei 2025 13:21

Nou ja, valve heeft wel een bepaalde ketenverantwoordelijkheid. Zij selecteren immers een bepaalde leverancier voor een dienst die ze inkopen. Daar kunnen ze ook eisen aan stellen.

Ja, en ze werken er ook aan om de oorzaak te zoeken, toch ?

Lodd @hawke84 • 15 mei 2025 13:59

Lees dan nog even de 2e helft van mijn post.

jdh009 @CodeCaster • 15 mei 2025 13:28

Ook als het lek bij een sms-provider zat, betekent dat niet dat Valve geen verantwoordelijkheid draagt. Zij kiezen die dienst, integreren die in hun platform en het zijn hun gebruikers die daar hun gegevens voor aanleveren. Valve slaat die gegevens op en deelt ze met onderaannemers of andere partijen. Daarmee blijven zij gewoon verwerkingsverantwoordelijke voor de persoonsgegevens van hun gebruikers.

Als jij persoonsgegevens verwerkt en daarbij een externe partij inschakelt, geef je de verantwoordelijkheid niet uit handen.... Je blijft gewoon eindverantwoordelijk! Wat er daarna tussen jou en die partij wordt uitgevochten is intern. De gebruiker heeft daar niets aan en mag verwachten dat zijn gegevens veilig worden verwerkt, dat is hier dus niet gebeurd.

Dan is er dus bij Valve/Steam zelf niets misgegaan.

Er is dus wel degelijk iets misgegaan bij Valve. Niet per se op hun servers, maar wel in hun verantwoordelijkheid als verwerkingsverantwoordelijke. Zij hebben gekozen voor een onveilige methode (sms), via een externe partij waarvan nu blijkt dat die data is uitgelekt. Als je zo'n keten opzet, ben je ook verantwoordelijk als er in die keten iets misgaat. Zoals Louis Rossmann regelmatig zegt in zijn video's:

If you're going to be the bitch, be the whole bitch! No half bitch allowed here.

[Reactie gewijzigd door jdh009 op 15 mei 2025 13:29]

Khrome @jdh009 • 15 mei 2025 13:44

Dat is wel erg kort door de bocht.

Omdat het om 89 miljoen gegevens gaat en het alleen telefoonnummers en sms lijkt te betreffen vermoed ik dat het om een Amerikaanse telefoonprovider gaat (geen specifiek steam probleem dus), en dat het mogelijk een ss7 probleem is geweest.

Dit is niet iets waar een enkele provider of valve aan schuldig is: ss7 wordt door èlke telcom ter wereld gebruikt, en is per definitie unencrypted en onveilig. Er is simpelweg geen breed gedragen alternatief wat wereldwijd telefonie mogelijk maakt op een zulke efficiente wijze.

Veritasium heeft hier niet zo lang geleden een leuke video over gemaakt:

youtube.com/watch?v=wVyu7NB7W6Y

Het enige wat Valve kan doen om dit op te lossen is om 2FA via SMS volledig uit te schakelen, maar of dat wel zo wenselijk is? Tenzij je een manier weet om ss7 SMS te beveiligen. Dan moet je er vooral een patent op aanvragen

jdh009 @Khrome • 15 mei 2025 14:59

Ik ken het filmpje... Dat SS7 onveilig is, klopt, en dat is ook al jaren bekend (zeker sinds 2014 door Tobias Engel en Karsten Nohl). Maakt dat het niet alleen maar erger dat er zoveel tijd tussen zit en niets veranderd?

SS7 has been shown to have several security vulnerabilities, allowing location tracking of callers, interception of voice data, intercept two-factor authentication keys, and possibly the delivery of spyware to phones

Juist daarom wordt het gebruik van sms voor 2FA al jarenlang als onveilig bestempeld door security-experts en zo'n beetje iedereen hier op Tweakers. Als je als platform desondanks bewust voor die methode kiest, neem je dus ook bewust het bijbehorende risico. Dat maakt het geen "neutraal gegeven", maar een ontwerpkeuze waarvoor je verantwoordelijkheid draagt. Je argument dat Valve hier niets aan zou kunnen doen omdat SS7 wereldwijd wordt gebruikt is een redeneerfout, een fout appèl op onvermijdelijkheid die bedoeld of onbedoeld het risico bagatelliseert.

geen specifiek Steam-probleem dus.

Het probleem kan gelijktijdig bij Steam én bij de telecom liggen. Maar het gaat er voor de gebruiker dus niet om wie in de keten exact gefaald heeft (Valve, de provider, SS7 als standaard of iemand/iets anders). Waar het om gaat, is dat Valve (of een partij die zij zelf gekozen hebben) ervoor heeft gekozen om gebruikersgegevens via een kwetsbaar kanaal te versturen waarvan de zwakke plekken al jaren gedocumenteerd zijn.

Je lijkt te veronderstellen dat ik Valve technisch verantwoordelijk houd of 'schuldig' acht voor de kwetsbaarheid van SS7, maar dat is niet mijn punt. Ik zeg dat ze verantwoordelijk zijn voor de keuze om het te gebruiken, niet voor het bestaan of het ontwerp van het protocol zelf

Als je weet dat iets onveilig is en je kiest er toch voor om het te blijven gebruiken, dan is het logisch dat je daar ook op wordt aangesproken. Daar verandert geen enkele uitlegvideo van Veritasium iets aan. Het uitschakelen van sms-2FA is inderdaad de enige maatregel waarbij Valve daadwerkelijk verantwoordelijkheid zou nemen voor het bekende risico van SS7. Als ze die methode in stand houden, kiezen ze bewust voor een kwetsbaar kanaal en dus ook voor het risico dat daarbij hoort.

En ja, er zijn alternatieven. Steam kan sms-2FA actief ontmoedigen, of de fallback beperken tot uiterste noodgevallen. Niemand dwingt ze om deze techniek te blijven gebruiken (in deze mate). Er zijn veilige en breed beschikbare alternatieven, denk alleen al aan TOTP, app-authenticatie, hardware keys enz enz. Dat ze daar zelf nu ook actief naar wijzen zegt genoeg. Dus prima als ze bewust voor sms kiezen, maar own dat dan ook gewoon.

Tenzij je een manier weet om ss7 SMS te beveiligen. Dan moet je er vooral een patent op aanvragen

Ah, de klassieke "kom zelf maar met een beter protocol of zwijg voor altijd"-strategie. Want als iets al jaren onveilig is, dan is de enige logische reactie natuurlijk: gewoon blijven gebruiken totdat iemand in de reacties onder een Tweakers-artikel met een octrooibare oplossing komt.

[Reactie gewijzigd door jdh009 op 15 mei 2025 15:04]

Mijiru @jdh009 • 15 mei 2025 18:29

Ja, alternatieven. Afaik gebruik Valve deze SMSjes (TOTP) om je telefoonnummer te verifiëren, en Steam Guard (app-authenticatie) op een nieuw toestel (hardware key) te activeren. Niet om iedere dag in te loggen. Wat is hier nu fout aan? Welke gebruikersgegevens zitten in dit SMSje dat onderschept wordt?

Ja, in theorie is het beter om geen SMS te gebruiken, maar dan schuif je het probleem toch alleen maar op??? Google, Microsoft, enzoverder gebruiken ook eerst een SMSje. Je bank en overheid vaak ook. Dit verkeer wordt ook ergens 6 maanden bijgehouden in een databank. Dan kan Valve toch beter hun eigen app maken, en zeker zijn dat unieke telefoonnummers gebruikt worden voor nieuwe accounts?

[Reactie gewijzigd door Mijiru op 15 mei 2025 18:37]

OverSoft @FrostyPeet • 15 mei 2025 13:28

Er IS ook niets aan de hand.
EN als je denkt dat spammers lijsten nodig hebben van letterlijk 1/8ste van de wereld (er zijn meer dan 1 MILJARD steam accounts) om te spammen, dan ben je behoorlijk naïef.

Er is geen spammer op aarde die hier voor gaat betalen, aangezien er nul informatie voor hun in zit. Het is niet gericht, er is niet eens bekend of er een man of vrouw achter zit. Random telefoon nummers spammen heeft meer nut dan hier geld aan uit geven.

CosmicByte @FrostyPeet • 15 mei 2025 12:33

Nou, leg uit. Wat had je anders/ beter verwacht. Een persoonlijk huisbezoek en excuus van Gabe Newell?

Om te kunnen reageren moet je ingelogd zijn