Valve ha annunciato l’implementazione di ulteriori misure di sicurezza per gli sviluppatori che pubblicano giochi su Steam, tra cui codici di conferma basati su SMS. Questo intervento mira a contrastare una recente ondata di aggiornamenti malevoli che diffondono malware da account di editori compromessi.
Dettagli sul problema
A partire da fine agosto e settembre 2023, si è registrato un aumento significativo di segnalazioni relative a account Steamworks compromessi e agli attacchi che caricano build malevoli, infettando i giocatori con malware. Valve ha rassicurato la comunità dei giocatori che l’impatto di questi attacchi è stato limitato a poche centinaia di utenti, i quali sono stati informati individualmente della potenziale violazione attraverso comunicazioni inviate dalla società.
Nuove misure di sicurezza
Per affrontare questo problema, Valve introdurrà un nuovo controllo di sicurezza basato su SMS a partire dal 24 ottobre 2023. Gli sviluppatori di giochi dovranno superare questo controllo prima di pubblicare un aggiornamento sul ramo di rilascio predefinito (non le versioni beta). La stessa richiesta verrà applicata quando qualcuno tenta di aggiungere nuovi utenti al gruppo di partner Steamworks, che è già protetto da una conferma basata su email. A partire dal 24 ottobre, l’amministratore del gruppo dovrà verificare l’azione con un codice SMS.
Non una soluzione perfetta
Sebbene l’introduzione della verifica basata su SMS rappresenti un passo avanti verso una migliore sicurezza della catena di approvvigionamento su Steam, il sistema non è esente da difetti. Benoît Freslon, uno degli sviluppatori di giochi, ha spiegato di essere stato infettato da un malware che ruba informazioni, utilizzato per rubare le sue credenziali. Freslon ha dichiarato su Twitter che la nuova misura di sicurezza basata su SMS di Valve non avrebbe aiutato a fermare l’attacco, poiché il malware ha rubato i token di sessione di tutti i suoi account. Inoltre, l’autenticazione a due fattori basata su SMS è vulnerabile agli attacchi di SIM-swap. Una soluzione migliore e più moderna sarebbe l’uso di app di autenticazione o chiavi di sicurezza fisiche.