Steam-Passwörter angeblich im Umlauf – Valve gibt Entwarnung

Von Katrin Jokic

Berichte über gestohlene Zugangsdaten verunsichern Nutzer

Ein mutmaßlicher Daten-Leak mit angeblich bis zu 89 Millionen gestohlenen Steam-Zugangsdaten hat weltweit für Aufregung gesorgt. In einschlägigen Hackerforen bot ein Unbekannter unter Pseudonym kürzlich einen Datensatz mit Einmalcodes für die Zwei-Faktor-Authentifizierung (2FA) und dazugehörigen Telefonnummern zum Verkauf an – für 5.000 US-Dollar.

Die veröffentlichten Proben enthielten SMS-Texte mit Bestätigungscodes, Telefonnummern und weiteren Metadaten. Die Authentizität dieser Daten wurde zwar teilweise durch unabhängige Tech-Plattformen bestätigt – eine direkte Verbindung zu Steam ließ sich jedoch nicht nachweisen.

Sicherheitsforscher vermuteten zunächst ein Sicherheitsleck bei Twilio, einem Anbieter für SMS-Kommunikationsdienste, der unter anderem 2FA-Codes für zahlreiche Plattformen versendet.

Valve widerspricht: Keine Hinweise auf einen Hack

Plattformbetreiber Valve, dem Steam gehört, hat inzwischen Stellung bezogen. In einem offiziellen Statement vom 15. Mai 2025 heißt es:

„Wir haben den verfügbaren Teil der geleakten Nachrichten untersucht und festgestellt, dass es sich dabei NICHT um einen Breach der Steam-Systeme handelt. Wir bemühen uns nach wie vor, die Quelle dieses Leaks zu ermitteln […] Die geleakten Daten sind nicht geeignet, die Telefonnummern mit einem bestimmten Steam-Konto, Passwortinformationen, Zahlungsinformationen oder anderen personenbezogenen Daten in Verbindung zu bringen.“

Auf Social Media und in Foren kursiert zudem, dass Valve eine Verbindung zu Twilio dementiert habe. Demnach nutze Steam keine Dienste von Twilio. Dies lässt sich im offiziellen Statement von Steam jedoch nicht finden. Dennoch betont Steam hierin, es bestehe keine Notwendigkeit, Passwörter oder hinterlegte Telefonnummern zu ändern.

Auch Twilio selbst veröffentlichte gab gegenüber der Webseite bleepingcomputer.com an, es lägen keine Hinweise auf einen eigenen Systemeinbruch vor. Eine Prüfung habe ergeben, dass die Daten nicht aus Twilio-Systemen stammen.

Was bedeutet das für Nutzer?

Offiziell besteht laut Valve kein Anlass zur Sorge: Die Systeme seien sicher, die kursierenden Daten veraltet oder nicht von Steam stammend. Dennoch sorgt der Vorfall in der Community für Unruhe.

In Foren berichten Nutzer von der Sorge, dass es nun eine gestiegenen Zahl gefälschter Passwort-Änderungs-E-Mails geben könnte. Die Befürchtung: Cyberkriminelle könnten die Situation für Phishing-Angriffe instrumentalisieren, um an gültige Zugangsdaten zu gelangen.

Zudem wird diskutiert, dass die im Leak enthaltenen Telefonnummern mit Steam-Konten in Verbindung stehen könnten. Einige Nutzer rechnen deshalb mit vermehrten SMS-Betrugsversuchen, die gezielt Steam-Nutzer ansprechen.

Auch wenn ein direkter Angriff auf Steam nicht bestätigt wurde, bleibt die Empfehlung bestehen, achtsam im Umgang mit Nachrichten und Links zu sein.

Was Sie jetzt tun können

Auch wenn Valve keinen direkten Angriff bestätigt, ist es immer ratsam, Passwörter regelmäßig zu ändern und auf Ihre Sicherheit zu überprüfen.

1. Passwort ändern

So ändern Sie Ihr Steam-Passwort:

• Öffnen Sie den Steam-Client
• Klicken Sie auf „Steam“ > „Einstellungen“ > „Sicherheit“
• Wählen Sie „Passwort ändern“
• Folgen Sie den Anweisungen zur E-Mail-Verifizierung
• Geben Sie ein neues, sicheres Passwort ein

Tipp: Verwenden Sie keine alten Passwörter erneut. Nutzen Sie idealerweise einen Passwortmanager.

2. Steam Guard aktivieren

Nutzen Sie den Steam Guard Mobile Authenticator über die Steam-App, um Ihr Konto zusätzlich zu schützen. Dabei wird bei jedem Login ein mobiler Bestätigungscode benötigt.

3. Zugangsdaten prüfen

Kontrollieren Sie, ob Ihre Daten Teil bekannter Leaks sind – z. B. über Dienste wie „Have I Been Pwned“. Sollten Sie feststellen, dass Ihre E-Mail-Adresse betroffen ist, ändern Sie die Passwörter auch bei anderen Diensten.

4. Vorsicht bei E-Mails und Links

Seien Sie wachsam bei ungewöhnlichen Nachrichten, auch wenn sie angeblich von Steam stammen. Klicken Sie keine Links in verdächtigen E-Mails – auch wenn sie authentisch aussehen.

Aktuell keine Hinweise auf ein Datenleck bei Steam – Vorsicht bleibt dennoch geboten

Nach aktuellem Stand gibt es keinen Beweis für einen erfolgreichen Hack von Steam oder Twilio. Dennoch unterstreicht der Vorfall, wie wichtig ein umsichtiges Verhalten im Netz ist – insbesondere im Umgang mit Login-Daten und Zwei-Faktor-Authentifizierung. Wer seine Steam-Zugangsdaten seit längerer Zeit nicht geändert hat, sollte dies nun vorsorglich tun.