Valve объявила о введении дополнительных мер безопасности для разработчиков, публикующих игры в Steam включая SMS-коды подтверждения. Это сделано в связи с недавней вспышкой распространения вредоносных обновлений с использованием взломанных учетных записей издателей.
Steamworks – это набор инструментов и сервисов, используемых разработчиками и издателями игр/софта для распространения своих продуктов на платформе Steam
Он поддерживает DRM (управление цифровыми правами), многопользовательскую игру, потоковое видео, матчмейкинг, систему достижений, внутриигровую голосовую связь и чат, микротранзакции, статистику, облачные сохранения и обмен контентом с сообществом (Steam Workshop).
С конца августа и до сентября 2023 года участились сообщения о взломе учетных записей Steamworks и загрузке злоумышленниками вредоносных сборок, заражающих игроков вредоносным ПО.
Valve заверила игровое сообщество, что последствия этих атак ограничились несколькими сотнями пользователей, которые были индивидуально проинформированы о потенциальной бреши в уведомлениях, разосланных компанией.
Для решения этой проблемы Valve с 24 октября 2023 г. введет новую SMS-проверку безопасности, которую разработчики игр должны пройти перед размещением обновления в стандартной ветке релиза (не бета-версии).
То же требование будет введено при попытке добавления новых пользователей в партнерскую группу Steamworks, которая уже защищена подтверждением по электронной почте. Начиная с 24 октября администратор группы должен подтвердить это действие с помощью SMS-кода.
«В рамках обновления системы безопасности любой аккаунт Steamworks, устанавливающий сборку на стандартную/публичную ветку выпущенного приложения, должен будет указать номер телефона, связанный с его аккаунтом, чтобы Steam мог отправить код подтверждения перед продолжением работы. То же самое будет справедливо и для всех учетных записей Steamworks, которым необходимо добавить новых пользователей. Это изменение вступит в силу 24 октября 2023 года, поэтому не забудьте добавить номер телефона в свою учетную запись сейчас.»
- говорится в сообщении Valve
Для тех, кто использует API SetAppBuildLive, Steam обновила его, чтобы требовать steamID для подтверждения, особенно для изменений ветки по умолчанию выпущенного приложения.
Использование команды „steamcmd“ для установки сборки в реальном времени больше не применимо для управления веткой по умолчанию выпущенных приложений.
Кроме того, Valve сообщила, что для разработчиков, не имеющих номера телефона, не будет найдено никакого решения, поэтому они должны найти способ получать текстовые сообщения, чтобы продолжать публикацию на платформе.
Не идеальное решение
Хотя введение SMS-верификации является хорошим шагом на пути к повышению безопасности цепочки поставок в Steam эта система далека от совершенства.
Один из разработчиков игры, Бенуа Фреслон, рассказал, что он был заражен вредоносной программой, похищающей информацию, которая использовалась для кражи его учетных данных.
Используя эти украденные данные, злоумышленник на короткое время выпустил вредоносное обновление для игры NanoWar: Cells VS Virus, которое заразило игроков вредоносным ПО.
Фреслон объяснил в Twitter что новая мера защиты MFA на основе SMS от Valve не помогла бы остановить атаку, поскольку вредоносная программа похитила сеансовые токены всех его учетных записей.
В отдельном сообщении на своем сайте разработчик игры объяснил, что атака произошла через Discord: хакеры обманом заставили его скачать и ознакомиться с игрой Unity под названием «Extreme Invaders». Установщик игры сбросил на его компьютер вредоносную программу, похищающую пароль, которая атаковала его учетные записи Discord, Steam Twitch, Twitter и другие.
Пока токены не были отозваны или срок их действия не истек, злоумышленники продолжали получать доступ к учетным записям разработчика и могли свободно рассылать игрокам обновления игры с вредоносным ПО.
Кроме того, SMS 2FA по своей сути уязвима для атак с подменой SIM-карт, когда угрожающие лица могут перенести номер разработчика игры на новую SIM-карту и обойти эту меру защиты.
Лучшим и более современным решением было бы внедрение приложений-аутентификаторов или физических ключей безопасности, особенно для проектов с большими сообществами.
Комментарии (0)