Valve, l’azienda responsabile della rinomata piattaforma di gioco Steam, ha recentemente annunciato l’introduzione di misure di sicurezza aggiuntive per gli sviluppatori che pubblicano giochi sulla sua piattaforma. Queste nuove misure, che comprendono l’uso di codici di conferma tramite SMS, sono state implementate come risposta a un recente aumento di aggiornamenti dannosi che diffondono malware attraverso account di editori violati.
Da fine agosto e durante il mese di settembre 2023, si è osservato un notevole incremento delle segnalazioni relative ad account Steamworks compromessi e agli attacchi che distribuiscono build malevoli, infettando i giocatori con malware. Valve, la società madre di Steam, ha prontamente risposto a tali preoccupazioni, cercando di rassicurare la vasta comunità di giocatori. In un annuncio ufficiale, Valve ha dichiarato che l’impatto di questi attacchi è stato circoscritto a un numero ristretto di utenti, e che tali individui sono stati informati in modo tempestivo attraverso comunicazioni personali inviate dalla società stessa.
Per contrastare questa problematica, Valve implementerà un nuovo sistema di sicurezza basato su SMS a partire dal 24 ottobre 2023. Gli sviluppatori di giochi saranno tenuti a superare con successo questo controllo prima di effettuare qualsiasi pubblicazione su ramo di rilascio predefinito, escludendo le versioni beta. Questa stessa procedura sarà applicata quando si cercherà di aggiungere nuovi utenti al gruppo di partner Steamworks, un’area già protetta da una conferma basata sull’invio di email.
A partire dal 24 ottobre, l’amministratore del gruppo sarà tenuto a confermare le azioni attraverso l’utilizzo di un codice SMS. Tuttavia, nonostante l’introduzione della verifica basata su SMS rappresenti un passo avanti nella miglioria della sicurezza della catena di approvvigionamento su Steam, il sistema non è immune da difetti. Benoît Freslon, uno degli sviluppatori di giochi, ha riferito di essere stato vittima di un malware progettato per rubare informazioni, comprese le sue credenziali. Attraverso il suo account Twitter, Freslon ha reso noto che la nuova misura di sicurezza basata su SMS implementata da Valve non sarebbe stata efficace nel fermare l’attacco, poiché il malware aveva compromesso i token di sessione di tutti i suoi account.
In aggiunta, l’autenticazione a due fattori basata su SMS è suscettibile agli attacchi di SIM-swap. Una soluzione più avanzata e contemporanea sarebbe rappresentata dall’utilizzo di applicazioni di autenticazione o chiavi di sicurezza fisiche. In sintesi, pur riconoscendo gli sforzi di Valve nel migliorare la sicurezza sulla propria piattaforma, la sfida rimane nella ricerca di soluzioni efficaci che tutelino sia gli sviluppatori che i giocatori da potenziali minacce. Questa problematica è complessa e richiede una risposta completa e stratificata per essere affrontata con successo.