根据最新报导,多间游戏开发商的官方 Steam 账户在近期遭到有心人士的入侵,甚至直接在他们旗下游戏的最新更新中加入恶意软件,导致近百位 Steam 用户在完全不知情的情况下自动下载了恶意软件,而 Valve 也直接通过电子邮件向他们告知了这个风险。 不久之后,Valve也对外证实了这些细节,而GameDiscoverCo网站的创始人Simon Carless也通过一篇邮件向PC Gamer网站揭露了更多详情。
虽然就以这次的案例来说,这种利用 Steam 游戏发行商账户来散播恶意软件造成的影响范围其实相当有限,但 Valve 依然对此采取了重大的防护措施,避免类似的情况再次发生。 从10月24日开始,Steam上的发行商账户在为旗下已推出的游戏发布更新文件之前,必须要先经过一次两阶段验证,接着 Steam 系统才会像已经安装该版本的玩家们自动分发更新文件。
游戏开发商只能通过SMS短信的方式进行两阶段认证,因此与 Steam 合作的发行商帐户必须要注册随时都可使用的手机号码才能为旗下游戏的主要版本发布更新文件。 对于那些没有手机的游戏开发者们,Valve 在声明中仅简单地向他们说了一声抱歉,并没有提供任何其他的替代方案,强调他们必须要有能够接收短信的手机,才能继续为游戏发布更新。
Valve 向 PC Gamer 网站表示这种「额外认证」对于合作伙伴们来说是一个必要的措施,这样才能确保全球各地的 Steam 用户都能安全无虑地使用这个平台,同时也能让游戏发行商在第一时间注意到帐号的资安问题。 然而,这其实并非近期唯一一起 Steam 合作伙伴账户遭到有心人士试图非法访问的事件。 根据Valve的说法,负责在 Steam 平台上发布游戏的发行商账户在最近成为入侵目标的频率出现了显著的上升趋势。
除了为旗下游戏发布更新时的防护之外,合作伙伴帐户在为团队开发者组合中加入新成员时,也必须经过两阶段的认证,Valve强调他们在这后将会陆续为更多其他的开发者 Steam 帐户功能导入相同的认证机制,借此尽量达到滴水不漏的程度。
根据目前已经确定的信息,其中一款在此次事件中受到影响的游戏作品为 2023 年 8 月 26 日推出的免费游戏《NanoWar: Cells VS Virus》,开发商 Benoît Freslon 事后也在 X 平台上表示他本人也成为了这波恶意软件入侵事件的受害者,导致他的浏览器存取 Token 也因此遭人窃取,让入侵者能够存取他当时在浏览器中登入过的所有网站。
