A Valve informou que há algum tempo, invasores invadiram as contas de várias dezenas de desenvolvedores na plataforma Steam e adicionaram malware aos seus jogos. Observa-se que o ataque afetou menos de 100 usuários do Steam. A Valve imediatamente os alertou sobre o perigo por e-mail.
A Valve também anunciou esta semana que fortalecerá as medidas de segurança do Steam para garantir que incidentes como este não aconteçam novamente. A partir de 24 de outubro, a empresa começará a exigir que os desenvolvedores usem autenticação de dois fatores com um número de telefone vinculado a uma conta Steamworks para publicar uma versão no ramo padrão do aplicativo.
«Agora, se você tentar atualizar a versão de um aplicativo lançado na ramificação padrão, o Steam enviará um SMS com um código de confirmação. Ele também precisará ser inserido para criar outro padrão de filial. Observe que o código não será necessário se o aplicativo ainda não tiver sido lançado ou se você estiver atualizando uma versão beta”, diz o site do Steam.
Somente contas que administram um grupo de desenvolvedores parceiros no Steamworks podem convidar usuários para um grupo. E para convidar um novo usuário, você precisa confirmar seu endereço de e-mail. Com a atualização de segurança, o administrador também terá que inserir o código do SMS antes de enviar um convite para um novo usuário. A Valve observou que não haverá exceções à nova regra. Isso significa que os desenvolvedores que não possuem telefone precisarão adquirir um ou encontrar outra forma de receber SMS.
Como escreve Garon, a autenticação de dois fatores com SMS não é uma panacéia e, por sua vez, também pode ser vulnerável a ataques de troca de SIM, bem como outras formas de phishing, com as quais os invasores podem roubar códigos de acesso. Por esse motivo, vários desenvolvedores nos comentários à postagem da atualização de segurança se manifestaram contra a introdução da autenticação de dois fatores baseada em SMS, pedindo à Valve que pensasse em opções mais seguras para resolver o problema.