Segurança Digital · Conta hackeada

Conta Steam hackeada ou roubada: como recuperar e proteger

Resposta rápida

Se sua conta Steam foi hackeada, aja imediatamente: recupere o acesso pelo Steam Support (help.steampowered.com), troque a senha da conta e do e-mail vinculado e use "desautorizar todos os dispositivos" para encerrar as sessões do invasor. O ataque costuma vir de phishing (sites falsos de voto, troca de itens ou código Steam Guard) ou de malware que rouba a sessão. Quanto antes você agir, maior a chance de bloquear trocas e recuperar itens.

A Decripte é uma empresa de cibersegurança que atende empresas de 1 a mais de 100.000 colaboradores. Cuida da segurança de um negócio? Comece pelo plano gratuito de Gestão de Ameaças.

Sinais de alerta

  • Você não consegue mais entrar com a senha que sempre funcionou, ou o Steam pede um código que não chega no seu e-mail/telefone.
  • Chegaram e-mails da Valve confirmando troca de e-mail, de senha ou de número de telefone que você não solicitou.
  • Itens do inventário (skins, cartas, chaves) sumiram ou há ofertas de troca e vendas no Mercado que você não fez.
  • Amigos relatam mensagens estranhas suas no chat, com links de "votação", "presente grátis" ou pedidos de voto em torneio.
  • Aparecem novas autorizações de dispositivo ou logins de locais e IPs que você não reconhece no histórico de acesso.
  • O Steam Guard foi desativado, trocado para outro celular ou você foi desconectado de todos os aparelhos sem motivo.

Passo a passo — o que fazer

  1. 1

    1. Tente recuperar pelo Steam Support agora

    Acesse help.steampowered.com em outro dispositivo, escolha "Não consigo acessar minha conta" e siga a verificação de identidade. A Valve aceita comprovar a posse por e-mail, telefone, chaves de jogos compradas ou histórico de compra. Não dependa só da senha, que o invasor já trocou.

  2. 2

    2. Troque a senha do e-mail vinculado primeiro

    Antes de mexer no Steam, garanta o e-mail associado à conta: troque a senha do provedor (Gmail, Outlook etc.) e revise regras de encaminhamento e filtros. Quem controla o e-mail controla a recuperação da Steam; sem ele, o atacante reverte qualquer mudança que você fizer.

  3. 3

    3. Redefina a senha da Steam

    Com o e-mail seguro, redefina a senha da Steam por uma forte e exclusiva, nunca reutilizada em outro serviço. Faça isso pelo cliente oficial ou por store.steampowered.com digitado à mão, jamais por links recebidos em chat, e-mail ou Discord.

  4. 4

    4. Desautorize todos os dispositivos

    Em Configurações da conta, use "Gerenciar Steam Guard" e "Desautorizar todos os dispositivos" para invalidar as sessões ativas, inclusive a do invasor. Isso obriga um novo login com Steam Guard em cada aparelho e corta o acesso baseado em sessão roubada.

  5. 5

    5. Reative e reforce o Steam Guard

    Configure o Steam Guard Mobile Authenticator (app oficial Steam) no seu próprio celular. Ele é mais forte que o código por e-mail e adiciona a confirmação de trocas. Confira também o número de telefone e o e-mail cadastrados, removendo qualquer dado inserido pelo invasor.

  6. 6

    6. Bloqueie e reverta trocas e vendas

    Pelo Steam Support, abra um chamado sobre trocas e itens não autorizados. A Valve pode reverter trocas recentes feitas por conta comprometida. Verifique o histórico de trocas e o Mercado e cancele listagens ativas que você não criou.

  7. 7

    7. Verifique o computador contra malware

    Se o roubo aconteceu mesmo com Steam Guard, suspeite de infostealer que copiou seus cookies/sessão. Rode uma varredura completa com antivírus atualizado, atualize o sistema e, em caso de dúvida, troque as senhas só depois de limpar a máquina.

  8. 8

    8. Revise pagamentos e contas reutilizadas

    Cheque a carteira Steam, cartões salvos e o histórico de compras por cobranças indevidas e avise o banco se houver. Troque a senha em qualquer outro serviço onde você usava a mesma combinação de e-mail e senha da Steam.

O que NÃO fazer

  • Não clique em links de "vote em mim", "item grátis" ou "você ganhou" enviados por amigos ou no chat: é a isca mais comum de phishing de roubo de conta.
  • Não digite seu login, senha ou código Steam Guard em sites que não sejam steampowered.com ou steamcommunity.com, mesmo que pareçam idênticos ao oficial.
  • Não compartilhe o código do Steam Guard com ninguém: a Valve nunca pede esse código por chat, e quem pede está tentando assumir sua conta.
  • Não reutilize a mesma senha da Steam em e-mail, banco ou redes sociais; um vazamento em qualquer um deles entrega todos os outros.
  • Não negocie a "devolução" da conta com o invasor nem pague resgate: recupere apenas pelos canais oficiais do Steam Support.

Como as contas Steam são roubadas

O vetor mais comum não quebra a senha por força bruta: ele engana o dono. Golpes de "voto" pedem que você entre num site para apoiar um time ou jogador; o site é uma cópia da tela de login da Steam que captura usuário, senha e até o código Steam Guard em tempo real, repassando-os ao atacante enquanto ele faz o login verdadeiro.

Variações incluem falsas trocas de itens, ofertas de skins "grátis", supostos prêmios e mensagens de amigos cuja conta já caiu. O phishing de SteamGuard é especialmente perigoso porque pede o código no momento exato, contornando a sensação de que a verificação em duas etapas torna a conta intocável.

O segundo grande vetor é o malware infostealer. Programas distribuídos como "cheats", cracks, mods ou instaladores piratas copiam arquivos de sessão, cookies do navegador e credenciais salvas. Com o token de sessão, o invasor entra sem precisar da senha nem do Steam Guard, porque reaproveita uma sessão já autenticada no seu computador.

Recuperar o acesso passo a passo

A recuperação gira em torno de duas posses: o e-mail vinculado e o telefone do Steam Guard. Comece protegendo o e-mail, porque ele é a chave-mestra de redefinição. Em seguida, vá ao Steam Support (help.steampowered.com), informe que não consegue acessar a conta e prove a identidade pelo histórico de compras e chaves de jogos, mesmo que o invasor tenha trocado e-mail e telefone.

Depois de retomar o login, desautorize todos os dispositivos para derrubar as sessões ativas, redefina a senha por uma exclusiva e reative o Steam Guard Mobile Authenticator no seu aparelho. Por fim, abra um chamado para reverter trocas e vendas não autorizadas: a Valve costuma conseguir restaurar itens de contas comprometidas dentro de uma janela de tempo, então o relato rápido importa.

Documente tudo: prints de e-mails de confirmação que você não pediu, datas de logins suspeitos e números de chamados. Esse registro acelera o atendimento e ajuda a Valve a distinguir o dono legítimo do invasor.

Cuida da segurança de uma empresa?

Veja de graça o que já vazou do seu negócio.

O plano gratuito de Gestão de Ameaças da Decripte mapeia vulnerabilidades, monitora ameaças e mostra credenciais vazadas — sem cartão e sem equipe técnica.

Comece grátis agora

O elo entre sua conta pessoal e o trabalho

O roubo de uma conta de jogo raramente fica restrito ao jogo. A senha que vazou da Steam, se for a mesma do e-mail corporativo, do VPN ou de um painel administrativo, transforma um incidente pessoal em porta de entrada para a empresa. É o chamado credential stuffing: atacantes testam combinações vazadas em larga escala contra serviços corporativos.

O infostealer agrava o quadro. O mesmo malware que copiou a sessão da Steam costuma varrer o navegador inteiro, levando senhas salvas de sistemas de trabalho, tokens de sessão de aplicações corporativas e cookies de SSO. Por isso o CERT.br recomenda separar contas, usar gerenciador de senhas e nunca reutilizar credenciais entre o ambiente pessoal e o profissional.

Para a empresa, o aprendizado prático é direto: monitorar credenciais expostas, exigir autenticação em duas etapas resistente a phishing e orientar a equipe a tratar dispositivos pessoais como parte da superfície de ataque. Na Decripte, organizações de 1 a mais de 100.000 colaboradores começam com um plano gratuito para mapear credenciais vazadas e reduzir esse risco. Fale com a Decripte e avalie o que já está exposto.

Como reduzir o risco de uma próxima vez

Ative o Steam Guard Mobile Authenticator em vez do código por e-mail, use uma senha longa e única gerada por gerenciador de senhas e revise periodicamente os dispositivos autorizados. Mantenha o e-mail vinculado protegido com verificação em duas etapas, já que ele é o ponto único de falha da recuperação.

Desconfie por padrão: a Steam nunca pede seu código de autenticação por chat, e links externos pedindo login são quase sempre phishing. Não instale cheats, cracks nem mods de fontes não oficiais, que são o principal canal de infostealers.

No nível pessoal e corporativo, a higiene é a mesma: senhas exclusivas por serviço, MFA forte, software atualizado e atenção a qualquer e-mail de confirmação que você não solicitou. Pequenos sinais ignorados costumam preceder o sequestro completo da conta.

Termos importantes

Steam Guard
Sistema de autenticação em duas etapas da Valve. Pode operar por código enviado ao e-mail ou, de forma mais segura, pelo Steam Guard Mobile Authenticator, que gera códigos no celular e confirma trocas e vendas.
Infostealer
Tipo de malware que rouba informações armazenadas no dispositivo: senhas salvas, cookies, tokens de sessão e arquivos de credenciais. Permite acessar contas sem precisar da senha digitada, reaproveitando sessões já autenticadas.
Phishing
Fraude que imita páginas ou mensagens legítimas para induzir a vítima a entregar dados como login, senha e códigos de verificação. No contexto Steam, aparece como sites falsos de voto, troca de itens ou prêmios.
Credential stuffing
Ataque que reaproveita combinações de e-mail e senha vazadas, testando-as automaticamente em outros serviços. Funciona porque muitas pessoas reutilizam a mesma senha entre contas pessoais e de trabalho.

Perguntas frequentes

A Valve consegue recuperar minha conta mesmo se o invasor trocou e-mail e telefone?

Sim. Pelo Steam Support você prova a posse por outros meios, como histórico de compras, chaves de jogos resgatadas e dados de pagamento. Esses comprovantes permitem ao suporte devolver a conta ao dono legítimo, mesmo com e-mail e telefone alterados pelo atacante.

Itens e skins roubados podem ser devolvidos?

Em muitos casos, sim. A Valve costuma reverter trocas feitas por uma conta comprometida quando você reporta rapidamente pelo Steam Support. Quanto antes abrir o chamado, maior a chance, porque há uma janela de tempo para a reversão de trocas e vendas.

Tenho Steam Guard ativo. Como ainda assim roubaram minha conta?

Por dois caminhos: phishing que pede o código em tempo real num site falso, ou malware infostealer que copia a sessão já autenticada do seu computador. No segundo caso, o invasor não precisa do código, pois reaproveita o token de sessão existente.

Devo trocar a senha do meu e-mail também?

Sim, e antes de tudo. O e-mail vinculado é a chave de recuperação da Steam. Se ele estiver comprometido, o invasor reverte qualquer mudança que você fizer. Troque a senha do e-mail, ative a verificação em duas etapas e revise filtros e encaminhamentos.

Isso pode afetar minha empresa?

Pode, em duas frentes. Se você reutilizava a senha da Steam em serviços de trabalho, o vazamento vira risco corporativo via credential stuffing. E o infostealer que roubou a Steam pode ter copiado senhas e sessões de sistemas profissionais salvos no mesmo navegador.

Como a Decripte ajuda nesse cenário?

A Decripte monitora credenciais e dados expostos em vazamentos, ajudando organizações de 1 a mais de 100.000 colaboradores a identificar senhas comprometidas antes que sejam exploradas. Há um plano gratuito para começar a mapear a exposição e priorizar a troca de credenciais.

É seguro pagar para o invasor devolver a conta?

Não. Pagar resgate não garante a devolução e ainda financia o golpe. Use somente o Steam Support oficial para recuperar a conta. Negociar com o atacante apenas confirma que você é um alvo disposto a pagar.

Segurança para empresas

A Decripte protege empresas de todos os tamanhos — do MEI ao Enterprise.

Plataforma e serviços completos: gestão de ameaças, SOC 24x7, resposta a incidentes, pentest e conformidade. Comece de graça e veja o que já vazou do seu negócio.