いきなりログインに使う二段階認証用のコードがメールで送られてきた。
メール内のリンクからSteamのページを開くとログインを試みた場所がウクライナと表示されていて現在位置と並べて注意を促すもので、アカウントを狙った者はこのコードがわからないのでログインはできない、はず。
コードが送られてきたということはパスワードはあっていたということ。
以前Twitterのアカウントが勝手に使われていたことがあったが、あの時以前にTwitterで使っていたユーザー名とパスワードをSteamでも使っていた。
どちらもたいして重要じゃないと思っていた頃に設定したもので、後にそれぞれ価値をもったり金銭のやり取りをするようになって事情が変わったのにそのままにしていた。
二段階認証にしてあってよかった。

二か所で使われたということはアカウント名とパスワードがリストにのって流通してしまっていると考えて間違いないだろう。