Video oyunu yayıncısı/dijital dağıtım şirketi Valve, Steam platformunda oyun yayınlayan geliştiricileri yeni yapıları SMS yoluyla alınan bir onay koduyla “doğrulamaya” zorluyor.
Steam SMS onayı gereksinimi
Valve geçen ay belirli kullanıcıları Steam üzerinden belirli bir oyunu oynadıktan sonra kötü amaçlı yazılımdan etkilenmiş olabilecekleri konusunda bilgilendirmek için bildirimler gönderdi.
Bildirimde “Bu oyunun geliştiricisinin Steam hesabı yakın zamanda ele geçirildi ve saldırganlar kötü amaçlı yazılım içeren yeni bir yapı yükledi” ifadesine yer verildi. söz konusu. “Şüphelenilen kötü amaçlı yazılımı içeren yapı derhal geri döndürüldü ve Steam’den temizlendi, ancak güvendiğiniz veya düzenli olarak kullandığınız bir anti-virüs ürününü kullanarak tam sistem taraması yapmanızı ve sisteminizde beklenmedik veya yeni yüklenen yazılımları incelemenizi önemle tavsiye ederiz.” .”
Geçtiğimiz hafta şirket, 24 Ekim 2023’ten itibaren bir yapıyı varsayılan şubeye güncellemek isteyen geliştiriciler için yeni bir SMS tabanlı güvenlik kontrolü uygulayacaklarını duyurdu.
“Güvenlik güncellemesinin bir parçası olarak, yayınlanmış bir uygulamanın varsayılan/genel şubesinde canlı olarak oluşturulan herhangi bir Steamworks hesap ayarının, Steam’in devam etmeden önce size bir onay kodu gönderebilmesi için hesaplarıyla ilişkilendirilmiş bir telefon numarasına sahip olması gerekir.” şirket açıkladı. “Aynı şey, yeni kullanıcılar eklemesi gereken herhangi bir Steamworks hesabı için de geçerli olacaktır.”
Uygulama henüz yayınlanmadıysa veya geliştiriciler bir beta şubesini güncelliyorsa ek onay gerekmeyecektir.
Güvenlik güncellemeleri memnuniyetle karşılanır, ancak…
Geliştirme yaşam döngüsüne ek güvenlik kontrolleri eklemek genel olarak olumlu bir uygulama olsa da Valve’ın güncellemesi, etkileyeceği kişiler tarafından coşkuyla karşılanmadı.
Geliştiriciler, kişisel numaralarını platformla ilişkilendirmeye özellikle istekli olmamalarının yanı sıra, bu güncellemenin otomatik sürüm hatlarını engelleyeceğini ve sürüm sürecini geciktireceğini söylüyor. Ayrıca, SMS tabanlı kimlik doğrulamanın artık güvenli olmadığını (SIM değiştirme ve MITM saldırıları nedeniyle) ve daha güvenli alternatiflerin (örneğin zamana dayalı tek kullanımlık şifreler sağlayan mobil uygulamalar) sunulması gerektiğini de haklı olarak belirttiler.
ESET güvenlik uzmanı Thomas Uhlemann, bu hamlenin geliştiricilerin ve kullanıcıların güvenliğini önemli ölçüde artıracağından şüphe ediyor.
Help Net Security’ye, “Geliştirici hesaplarının ele geçirilmesi veya daha da kötüsü ekipmanlarının ele geçirilmesi sorununu azaltmak için kanıtlanmış diğer taktiklerin uygulanması gerekiyor” dedi.
“Öncelikle geliştiricilere, tüm hesaplarını kimlik doğrulama uygulamalarında olduğu gibi korumak için güçlü parolalara ek olarak SMS tabanlı olmayan MFA uygulamasını öneriyoruz. Daha sonra elbette, bilgi çalan kötü amaçlı yazılımların geliştiricinin tüm kimliğini ele geçirmesini önlemek için geliştirme için kullanılan ekipmanın da güçlü bir güvenlik yazılımı tarafından korunması gerekiyor.”
“Steam/Valve için, ekosistemlerinin bir bütün olarak güvenlik duruşunu en üst düzeye çıkarmak için sertifika tabanlı, güçlü bir MFA çözümü (kendi Steam Guard uygulamasını kullanabilecekleri için) sunmanızı öneriyoruz. Kullanıcıların bireysel geliştiricilerin güvenliğini sağladıklarına inanarak platforma güvendiklerini unutmamalıyız” diye konuştu.