Valve, Steam’de oyun yayınlayan geliştiriciler için SMS tabanlı onay kodları da dahil olmak üzere ek güvenlik önlemleri uygulayacağını duyurdu. Bunun amacı, kötü amaçlı yazılımları tehlikeye atılmış yayıncı hesaplarından iten son zamanlarda ortaya çıkan kötü amaçlı güncelleme salgınıyla başa çıkmaktır.
Steamworks, oyun/yazılım geliştiricileri ve yayıncılarının ürünlerini Steam platformunda dağıtmak için kullandıkları bir dizi araç ve hizmettir.
DRM (dijital haklar yönetimi), çok oyunculu, video akışı, eşleştirme, başarı sistemi, oyun içi ses ve sohbet, mikro işlemler, istatistikler, bulut tasarrufu ve topluluk yapımı içerik paylaşımını (Steam Workshop) destekler.
Ağustos sonundan Eylül 2023’e kadar, Steamworks hesaplarının ele geçirildiği ve saldırganların oyunculara kötü amaçlı yazılım bulaştıran kötü amaçlı yapılar yüklediği hakkında çok sayıda rapor geldi.
Valve, oyun topluluğuna, bu saldırıların etkisinin birkaç yüz kullanıcıyla sınırlı olduğu konusunda güvence verdi ve bu kullanıcılar, şirket tarafından gönderilen bildirimler aracılığıyla potansiyel ihlal konusunda bireysel olarak bilgilendirildi.
Bu sorunu engellemek için Valve, 24 Ekim 2023’ten itibaren yeni bir SMS tabanlı güvenlik kontrolü uygulayacak; oyun geliştiricilerinin, varsayılan sürüm dalında (beta sürümleri değil) bir güncelleme yayınlamadan önce bu kontrolü geçmesi gerekiyor.
Birisi halihazırda e-posta tabanlı bir onayla korunan Steamworks ortak grubuna yeni kullanıcılar eklemeye çalıştığında da aynı gereksinim uygulanacaktır. 24 Ekim’den itibaren grup yöneticisinin eylemi bir SMS koduyla doğrulaması gerekiyor.
Valve’ın açıklamasında “Güvenlik güncellemesinin bir parçası olarak, yayınlanmış bir uygulamanın varsayılan/genel şubesinde canlı olarak oluşturulan herhangi bir Steamworks hesap ayarının, Steam’in devam etmeden önce size bir onay kodu gönderebilmesi için hesaplarıyla ilişkilendirilmiş bir telefon numarasına sahip olması gerekir” diyor. bu hafta başında yapılan duyuru.
“Aynı şey, yeni kullanıcı eklemesi gereken herhangi bir Steamworks hesabı için de geçerli olacaktır. Bu değişiklik 24 Ekim 2023’te yayınlanacaktır, bu nedenle hesabınıza hemen bir telefon numarası eklediğinizden emin olun.”
“Bu gereksinimi gelecekte diğer Steamworks eylemleri için de eklemeyi planlıyoruz.”
SetAppBuildLive API’sini kullananlar için Steam, özellikle yayımlanan bir uygulamanın varsayılan dalındaki değişiklikler için onay için bir steamID gerektirecek şekilde bunu güncelledi.
Yapıları canlı olarak ayarlamak için ‘steamcmd’ kullanmak artık yayımlanan uygulamaların varsayılan dalını yönetmek için geçerli değildir.
Ayrıca Valve, telefon numarası olmayan geliştiriciler için geçici bir çözüm olmayacağını, bu nedenle platformda yayınlamaya devam etmek için kısa mesaj almanın bir yolunu bulmaları gerektiğini söylüyor.
Mükemmel bir çözüm değil
SMS tabanlı doğrulamanın getirilmesi Steam’de daha iyi tedarik zinciri güvenliği elde etme yolunda iyi bir adım olsa da sistem mükemmel olmaktan çok uzaktır.
Oyun geliştiricilerinden Benoît Freslon, kimlik bilgilerini çalmak için kullanılan, bilgi çalan bir kötü amaçlı yazılımın kendisine bulaştığını açıkladı.
Tehdit aktörü, çalınan bu kimlik bilgilerini kullanarak, oyunculara kötü amaçlı yazılım bulaştıran NanoWar: Cells VS Virus için kötü amaçlı bir güncellemeyi kısa süreliğine yayınladı.
Freslon, Twitter’da Valve’ın yeni SMS tabanlı MFA güvenlik önleminin, bilgi hırsızı kötü amaçlı yazılımın tüm hesaplarındaki oturum jetonlarını ele geçirmesi nedeniyle saldırıyı durdurmaya yardımcı olmayacağını açıkladı.
Oyun geliştiricisi, web sitesindeki ayrı bir gönderide, saldırının Discord’da gerçekleştiğini ve tehdit aktörlerinin kendisini “Extreme Invaders” adlı bir Unity oyununu indirmesi ve incelemesi için kandırdığını açıkladı.
Oyun yükleyicisi bilgisayarına Discord, Steam, Twitch, Twitter ve diğer hesaplarını hedef alan şifre çalan bir kötü amaçlı yazılım düşürdü.
Tokenlar iptal edilene veya süresi dolana kadar saldırganlar, geliştiricinin hesaplarına erişmeye devam etti ve oyunculara kötü amaçlı yazılım içeren oyun güncellemelerini göndermekte özgür kaldı.
Ayrıca SMS 2FA, tehdit aktörlerinin oyun geliştiricisinin numarasını yeni bir SIM’e taşıyabileceği ve güvenlik önlemini atlayabileceği SIM değiştirme saldırılarına karşı doğası gereği savunmasızdır.
Daha iyi ve daha modern bir çözüm, özellikle büyük topluluklara sahip projeler için kimlik doğrulama uygulamalarını veya fiziksel güvenlik anahtarlarını zorunlu kılmak olacaktır.