Valve ha svelato che gli account di molteplici sviluppatori su Steam sono stati compromessi recentemente e che sono stati usati per aggiornare dei giochi con dei malware. Secondo Valve, meno di cento utenti aveva tali giochi installati sul proprio PC quando il malware è stato aggiunto e tutti sono stati contattati del rischio tramite email.
Sebbene questo tentativo di utilizzare Steam per distribuire malware non sia stato molto efficace, Valve ha compiuto un passo importante per evitare che si ripeta. A partire dal 24 ottobre, gli sviluppatori dovranno superare un controllo di autenticazione a due fattori prima di aggiornare la versione predefinita di un gioco pubblicato, ovvero la versione che Steam distribuirà con un aggiornamento automatico alla maggior parte dei giocatori che lo hanno installato.
Un SMS sarà l'unico modo per ricevere il codice a due fattori, quindi i partner di Steam dovranno registrare un numero di cellulare da utilizzare ogni volta che vorranno aggiornare la versione principale del gioco pubblicato. Per gli sviluppatori che non hanno un telefono, il post di Valve dice "mi dispiace", ma "avranno bisogno di un telefono o di un modo per ricevere messaggi di testo" se vogliono continuare ad aggiornare i loro giochi.
Uno dei giochi temporaneamente compromessi è NanoWar: Cells VS Virus, il cui sviluppatore, Benoît Freslon, ha dichiarato su X di essere stato lui stesso vittima di un malware che ha rubato i token di accesso al suo browser, dando agli aggressori l'accesso temporaneo a qualsiasi servizio web a cui era connesso in quel momento. "Ho usato il mio account dev per pubblicare il gioco poche ore prima dell'hack", ha detto.
La fonte del report e la conferma di Valve
Le informazioni sono emerse inizialmente tramite Simon Carless, fondatore della GameDiscoverCo newsletter. Valve ha poi confermato il tutto a PC Gamer.
Valve ha dichiarato a PC Gamer che questo "attrito extra" per i partner è un "compromesso necessario per mantenere gli utenti di Steam al sicuro e gli sviluppatori consapevoli di qualsiasi potenziale compromissione del loro account". Questo recente incidente non è stato l'unico tentativo di ottenere un accesso illegittimo agli account dei partner di Steam: Valve afferma di aver registrato "un aumento di attacchi sofisticati" che hanno preso di mira gli account degli sviluppatori che pubblicano giochi su Steam.
I partner di Steam dovranno inoltre utilizzare la verifica via SMS per aggiungere nuovi utenti al proprio gruppo e Valve ha dichiarato che in futuro intende aggiungere il controllo di sicurezza a due fattori ad altre azioni del backend di Steam.
Vi ricordiamo poi che Valve ha da poco anche confermato che Counter-Strike 2 non supporterà più macOS e vecchi sistemi.
