Компания Valve, создатель платформы Steam, анонсировала внедрение новой функции безопасности после того, как в сети появились сообщения о заражённых обновлениях игр. В прошлом месяце некоторые пользователи платформы получили уведомления от службы поддержки Steam о том, что обновления их игр содержали вредоносное ПО. Valve утверждает, что менее 100 человек скачали игры с вредоносным кодом, но подтвердить эту информацию невозможно.
Одной из игр, затронутых инцидентом, стала «NanoWar: Cells VS Virus», разработанная Бенуа Фресионом. Он сообщил в Twitter, что его аккаунт разработчика на Steam был взломан, и злоумышленники украли сессии его браузера.
Новая мера безопасности
Согласно новым правилам, разработчики игр будут получать код подтверждения по SMS при попытке войти в свои аккаунты для обновления приложений. Если код введён неверно, доступ будет заблокирован. Это добавляет дополнительный уровень защиты, помимо стандартного логина и пароля. Однако, стоит отметить, что использование SMS как второго фактора аутентификации имеет свои недостатки.
Уязвимости SMS-аутентификации
Как уже упоминалось, SMS-аутентификация может быть подвержена атакам через подмену SIM-карты. Если злоумышленник удачно обманет мобильного оператора и переключит номер на свою SIM-карту, он сможет получать все коды подтверждения и токены восстановления, отправляемые на этот номер.
Существует вероятность, что даже после введения новой меры безопасности аккаунты разработчиков Steam продолжат взламываться. Если злоумышленник настроен решительно, он может использовать метод подмены SIM-карты как часть своей атаки.
Рекомендации для разработчиков
Многие эксперты считают, что Valve могла бы внедрить более надёжную систему двухфакторной аутентификации, например, использовать приложения для генерации одноразовых паролей (TOTP), аппаратные ключи безопасности или пасскейсы. Хотя SMS-аутентификация лучше, чем её отсутствие, всегда есть возможность предложить более безопасное решение.
Valve подвергалась критике за внедрение системы двухфакторной аутентификации Steam Guard, которая не соответствует общепринятым стандартам безопасности. Разработчикам настоятельно рекомендуют добавить свой номер телефона к аккаунту до 24 октября 2023 года. В противном случае, они не смогут добавлять пользователей или устанавливать основные ветки для выпущенных приложений.
Защита своих устройств
Для разработчиков это означает, что им придётся предоставить свой номер телефона Valve. Важно также обеспечить дополнительную защиту устройств, с которых осуществляется вход в аккаунт разработчика на Steam, а также компьютеров, используемых для разработки игр. Защита от вредоносных атак и взломов является жизненно важной для тех, кто выпускает программное обеспечение, используемое другими пользователями.
