A Valve anunciou a implementação de medidas de segurança adicionais para os desenvolvedores que publicam jogos no Steam, incluindo códigos de confirmação baseados em SMS.
Isso ocorre devido a um surto recente de atualizações maliciosas que disseminam malware de contas de editoras comprometidas.
Steamworks é um conjunto de ferramentas e serviços que desenvolvedores e editoras de jogos/software usam para distribuir seus produtos na plataforma Steam.
Ele suporta DRM (digital rights management), multiplayer, streaming de vídeo, matchmaking, sistema de conquistas, voz e chat em jogo, microtransações, estatísticas, gravação em nuvem e compartilhamento de conteúdo criado pela comunidade (Steam Workshop).
A partir do final de agosto e durante setembro de 2023, houve um número elevado de relatos sobre contas Steamworks comprometidas e os invasores carregando builds maliciosas que infectam os jogadores com malware.
A Valve assegurou à comunidade de jogos que o impacto desses ataques foi limitado a algumas centenas de usuários, que foram individualmente informados da potencial violação por meio de avisos enviados pela empresa.
Para controlar esse problema, a Valve aplicará uma nova verificação de segurança baseada em SMS a partir de 24 de outubro de 2023, que os desenvolvedores de jogos devem passar antes de enviar uma atualização no ramo de lançamento padrão (não lançamentos beta).
O mesmo requisito será aplicado quando alguém tenta adicionar novos usuários ao grupo de parceiros Steamworks, que já é protegido por uma confirmação baseada em e-mail.
A partir de 24 de outubro, o administrador do grupo deve verificar a ação com um código de SMS.
"Como parte de uma atualização de segurança, qualquer conta do Steamworks que configure builds ao vivo na ramificação padrão / pública de um aplicativo lançado precisará ter um número de telefone associado à sua conta para que o Steam possa enviar a você um código de confirmação antes de continuar", lê-se no anúncio da Valve desta semana.
"O mesmo será válido para qualquer conta Steamworks que precise adicionar novos usuários.
Essa mudança entrará em vigor em 24 de outubro de 2023, portanto, certifique-se de adicionar um número de telefone à sua conta agora."
"Também planejamos adicionar este requisito para outras ações do Steamworks no futuro".
Para aqueles que usam a API SetAppBuildLive, o Steam a atualizou para exigir uma steamID para confirmação, especialmente para mudanças no ramo padrão de um aplicativo lançado.
Usar o 'steamcmd' para definir builds ao vivo não é mais aplicável para gerenciar o ramo padrão de aplicativos lançados.
Além disso, a Valve diz que não haverá alternativa para desenvolvedores sem um número de telefone, então eles precisam encontrar uma maneira de receber mensagens de texto para continuar publicando na plataforma.
Embora a introdução da verificação baseada em SMS seja um bom passo para melhorar a segurança da cadeia de suprimentos no Steam, o sistema está longe de ser perfeito.
Um dos desenvolvedores de jogos, Benoît Freslon, explicou que foi infectado com um malware de roubo de informações que foi usado para roubar suas credenciais.
Usando essas credenciais roubadas, o ator da ameaça empurrou brevemente uma atualização maliciosa para o NanoWar: Cells VS Virus que infectou jogadores com malware.
Freslon explicou no Twitter que a nova medida de segurança MFA baseada em SMS da Valve não teria ajudado a impedir o ataque, pois o malware de roubo de informações roubou tokens de sessão para todas as suas contas.
Em uma postagem separada em seu site, o desenvolvedor de jogos explicou que o ataque ocorreu no Discord, com os atores da ameaça o enganando para baixar e revisar um jogo Unity chamado "Extreme Invaders".
O instalador do jogo caiu um malware de roubo de senha em seu computador, que visava suas contas Discord, Steam, Twitch, Twitter e outras.
Até que os tokens fossem revogados ou expirassem, os atacantes continuaram acessando as contas do desenvolvedor, livres para enviar atualizações do jogo com malware para os jogadores.
Além disso, o SMS 2FA é inerentemente vulnerável a ataques de troca de SIM, onde os atores da ameaça podem mudar o número de um desenvolvedor de jogos para um novo SIM e burlar a medida de segurança.
Uma solução melhor e mais moderna seria impor aplicativos autenticadores ou chaves de segurança físicas, especialmente para projetos com grandes comunidades.
Publicidade
O curso Python Básico da Solyd oferece uma rápida aproximação à linguagem Python com diversos projetos práticos. Indo do zero absoluto até a construção de suas primeiras ferramentas. Tenha também suporte e certificado gratuitos. Saiba mais...