Účty několika herních vývojářů na Steamu byly v nedávné době napadené hackery, kterým se podařilo do buildů jejich her vložit malware. Následky útoku nebyly dalekosáhlé, škodlivý kód postihl méně než 100 uživatelů, kteří měli dané tituly v době infekce nainstalované. Provozovatel Steamu, společnost Valve, v reakci na to zavádí dodatečná bezpečnostní opatření pro všechny vývojáře.
Wondering why Steam devs will have to confirm via SMS before publishing new game versions or adding users? (https://t.co/EIyLHyA02N….) Looks like it's related to hackers taking over Steam dev accounts & adding malware to game builds. (Screenshot via @SteamDB from Sept. 2023.) pic.twitter.com/WfjGiHdhxm
— Simon Carless (@simoncarless) October 10, 2023
Na skutečnost nejdříve upozornil zakladatel newsletteru GameDiscoverCo Simon Carless, na kterého navázalo oficiální potvrzení firmy pro web PC Gamer. Valve dodává, že všechny uživatele, kteří se mohli stát terčem útoku, společnost již kontaktovala.
Nová bezpečnostní opatření vejdou v platnost od 24. října. Od tohoto dne musí všichni vývojáři projít dvoufázovou ověřovací kontrolou, aby mohli aktualizovat primární build svých her, tedy verzi, kterou má většina hráčů nainstalovanou.
Jediný způsob, jak touto kontrolou mohou tvůrci projít, je registrace telefonního čísla, na které jim přijde ověřovací kód. Jestliže některý z vývojářů telefonním číslem nebo telefonem z nějakého důvodu neoplývá, má bohužel smůlu a svou hlavní verzi už nebude moct aktualizovat. Výjimka se týká případů, kdy hra ještě veřejně nevyšla nebo se aktualizuje její testovací build.
Stejným ověřovacím procesem budou muset tvůrci projít i v případě, kdy chtějí ke svému vývojářskému účtu přidat nového uživatele.
Valve si samozřejmě uvědomuje, že se pro studia jedná o „dodatečnou překážku“, nicméně se podle společnosti jedná o „nezbytný kompromis pro zajištění bezpečnosti uživatelů služby a zlepšení informovanosti vývojářů o případném ohrožení jejich účtu“. Firma přiznává, že nedávný útok nebyl zdaleka ojedinělý. V poslední době zaznamenala značný nárůst podobných „sofistikovaných útoků“, které ji přiměly ke zpřísnění bezpečnostních opatření.
Jedním z postižených vývojářů byl i Benoît Freslon s titulem NanoWar: Cells VS Virus. Tomu měl malware ukrást přístupové tokeny prohlížeče, čímž hackeři měli získat dočasný přístup k veškerým webovým službám, k nimž byl Freslon v danou chvíli přihlášený.