行業新聞與部落格

Valve 正在透過為開發者引入簡訊驗證來增強其 Steamworks 平臺的安全性，旨在防止未來駭客滲透開發者帳戶的事件。 

此舉是為了回應之前的違規行為，其中惡意行為者破壞了開發者的帳戶並將惡意軟體注入到各種遊戲版本中。

據《PC Gamer》證實，雖然這些攻擊影響的 Steam 使用者不到 100 名，但《NanoWar: Cells VS Virus》的開發者 Benoît Freslon 於 10 月 11 日在 X（前身為 Twitter）上透露，駭客控制了他的瀏覽器訪問令牌。這使他們能夠訪問與 Freslon 登入帳戶相關的任何服務。

“這反映了過去幾年我們看到的一種趨勢，即攻擊者將攻擊重點轉移到經常能夠訪問科技公司皇冠上的明珠——他們的原始碼的開發人員身上，”Ken Westin 評論道。黑豹實驗室。

這位安全專家表示，當滲透者訪問程式碼儲存庫、DevOps 工具和雲基礎設施時，獲得經濟利益的潛力是巨大的。他們的能力不僅限於程式碼盜竊和惡意軟體部署，還包括插入惡意程式碼，從而損害下游客戶。

威斯汀解釋說：“這一趨勢不僅越來越多地被犯罪集團利用，也越來越多地被民族國家行為者所利用，正如我們在朝鮮的拉撒路集團所看到的那樣。”

威斯汀補充道：“組織需要採取額外措施，不僅保護開發人員本身的安全，還保護他們日常互動的環境——那些擁有特權訪問許可權的人尤其容易受到攻擊。”

Valve 目前正在採取措施阻止此類違規行為。該公司宣佈將在免費的開發工具套件 Steamworks 中實施更改，特別是在構建管理和 Steamworks 組的使用者新增方面。

這些更改將要求將電話號碼與使用者的 Steamworks 帳戶相關聯。當開發人員嘗試將構建更新到預設分支時，Steam 將透過簡訊向任何已釋出的應用程式傳送確認程式碼。當 Steamworks 管理員邀請新群組成員時，將應用類似的雙因素身份驗證 (2FA) 流程。

這些安全增強功能計劃於 10 月 24 日實施，促使 Steam 使用者確保他們的電話號碼與其帳戶相關聯。 

此外，Steam 還暗示將來會將這一要求擴充到其他 Steamworks 操作中。