行業新聞與博客

Valve 正在通過為開發者引入短信驗證來增強其 Steamworks 平台的安全性，旨在防止未來黑客滲透開發者帳户的事件。 

此舉是為了回應之前的違規行為，其中惡意行為者破壞了開發者的帳户並將惡意軟件注入到各種遊戲版本中。

據《PC Gamer》證實，雖然這些攻擊影響的 Steam 用户不到 100 名，但《NanoWar: Cells VS Virus》的開發者 Benoît Freslon 於 10 月 11 日在 X（前身為 Twitter）上透露，黑客控制了他的瀏覽器訪問令牌。這使他們能夠訪問與 Freslon 登錄帳户相關的任何服務。

“這反映了過去幾年我們看到的一種趨勢，即攻擊者將攻擊重點轉移到經常能夠訪問科技公司皇冠上的明珠——他們的源代碼的開發人員身上，”Ken Westin 評論道。黑豹實驗室。

這位安全專家表示，當滲透者訪問代碼存儲庫、DevOps 工具和雲基礎設施時，獲得經濟利益的潛力是巨大的。他們的能力不僅限於代碼盜竊和惡意軟件部署，還包括插入惡意代碼，從而損害下游客户。

威斯汀解釋説：“這一趨勢不僅越來越多地被犯罪集團利用，也越來越多地被民族國家行為者所利用，正如我們在朝鮮的拉撒路集團所看到的那樣。”

威斯汀補充道：“組織需要採取額外措施，不僅保護開發人員本身的安全，還保護他們日常交互的環境——那些擁有特權訪問權限的人尤其容易受到攻擊。”

Valve 目前正在採取措施阻止此類違規行為。該公司宣佈將在免費的開發工具套件 Steamworks 中實施更改，特別是在構建管理和 Steamworks 組的用户添加方面。

這些更改將要求將電話號碼與用户的 Steamworks 帳户相關聯。當開發人員嘗試將構建更新到默認分支時，Steam 將通過短信向任何已發佈的應用程序發送確認代碼。當 Steamworks 管理員邀請新羣組成員時，將應用類似的雙因素身份驗證 (2FA) 流程。

這些安全增強功能計劃於 10 月 24 日實施，促使 Steam 用户確保他們的電話號碼與其帳户相關聯。 

此外，Steam 還暗示將來會將這一要求擴展到其他 Steamworks 操作中。