Недавно учетные записи Steam различных разработчиков игр были взломаны и использованы для обновления их игр с помощью вредоносного ПО. По данным Valve, на момент появления вредоносного ПО игры были установлены менее чем у 100 пользователей Steam, поэтому они были напрямую уведомлены об угрозе по электронной почте.
Хотя эта попытка использовать Steam для распространения вредоносного ПО оказалась не очень эффективной, Valve предприняла важный шаг, чтобы предотвратить повторение подобного. С 24 октября разработчики игр должны будут проходить двухфакторную аутентификацию перед обновлением ветки по умолчанию выпущенной игры — версии, которую Steam будет автоматически отправлять большинству игроков, у которых она установлена.
Единственный способ получить двухфакторный код — через SMS, поэтому партнерам Steam необходимо будет зарегистрировать номер мобильного телефона, который будет использоваться при обновлении основной версии своей игры. Для разработчиков, у которых нет телефона, в уведомлении Valve об изменении говорится «Извините», но им «понадобится телефон или какой-либо способ получения текстовых сообщений», если они хотят продолжать обновлять свои игры.
В сообщении PC Gamer Valve заявила, что эти «дополнительные трудности» для партнеров являются «необходимым компромиссом для обеспечения безопасности пользователей Steam и осведомленности разработчиков о возможности компрометации их аккаунтов». Недавний инцидент не является уникальной попыткой незаконного доступа к учетным записям партнеров Steam. Valve заявила, что наблюдает «увеличение количества изощренных атак», нацеленных на учетные записи разработчиков, выпускающих свои игры в Steam.
Партнерам Steam также необходимо будет использовать SMS-верификацию для добавления новых пользователей в свою группу, и Valve планирует в будущем добавить двухфакторную проверку безопасности к другим действиям в бэкэнде Steam.
Одной из временно взломанных игр стала NanoWar: Cells VS Virus, разработчик которой Бенуа Фреслон сообщил на сайте X, что сам стал жертвой вредоносного ПО, укравшего токены доступа для его браузера, предоставив злоумышленникам временный доступ к любому онлайн-сервису куда он вошел в этот момент.
«Я просто использовал свою учетную запись разработчика, чтобы выпустить игру за несколько часов до взлома», — сказал он.