Las cuentas de Steam de varios desarrolladores de juegos fueron recientemente comprometidas y utilizadas para actualizar sus juegos con malware. Menos de 100 usuarios de Steam tenían los juegos instalados cuando se agregó el malware y fueron notificados directamente del riesgo por correo electrónico, según Valve. La compañía confirmó los detalles de la historia, informados a principios de esta semana por el fundador del boletín GameDiscoverCo. Simón Carlessen un correo electrónico a PC Gamer hoy.
Aunque este intento de utilizar Steam para distribuir malware no fue muy efectivo, Valve ha dado un paso importante para evitar que esto vuelva a suceder. A partir del 24 de octubre, los desarrolladores de juegos deberán pasar una verificación de autenticación de dos factores antes de actualizar la rama predeterminada de un juego lanzado: la versión que Steam entregará automáticamente en una actualización automática a la mayoría de los jugadores que la tengan instalada.
Un mensaje de texto SMS será la única forma de recibir el código de dos factores, por lo que los socios de Steam deben registrar un número de teléfono móvil para usarlo cada vez que quieran actualizar la versión principal de su juego. Para los desarrolladores que no tienen un teléfono, la publicación de Valve sobre el cambio dice «lo siento», pero «necesitarán un teléfono o alguna forma de recibir mensajes de texto» si quieren continuar actualizando sus juegos.
Valve le dice a PC Gamer que esta «fricción adicional» para los socios es una «compensación necesaria para mantener seguros a los usuarios de Steam y a los desarrolladores conscientes de cualquier posible compromiso en su cuenta». Este incidente reciente no ha sido el único intento de obtener acceso ilegítimo a cuentas de socios de Steam: Valve dice que ha visto «un aumento en ataques sofisticados» dirigidos a las cuentas de desarrolladores que lanzan juegos en Steam.
Los socios de Steam también necesitarán usar la verificación por SMS para agregar nuevos usuarios a su grupo, y Valve dice que planea agregar la verificación de seguridad de dos factores a otras acciones del backend de Steam en el futuro.
Uno de los juegos temporalmente comprometidos fue NanoWar: Cells VS Virus, cuyo desarrollador, Benoît Freslon, dijo en X que él mismo fue víctima de un malware que robó sus tokens de acceso al navegador, dando a los atacantes acceso temporal a cualquier servicio web en el que estuvieran conectados. En el momento. «Supongo que usé mi cuenta de desarrollador para lanzar el juego unas horas antes del hack», dijo.