【源頭播毒】黑客專攻Steam遊戲開發者 入侵帳戶推送加料更新
Valve 宣布,由 10 月 24 日開始,遊戲開發者必須提供電話號碼接受安全驗證訊息,否則將無法在 Steam 遊戲平台上發布遊戲或更新檔。這次收緊帳戶驗證條款,原來全因有開發者被黑客盜取帳戶登入資訊,再將含惡意功能的遊戲更新檔發送給玩家,令數百名玩家的電腦遭受病毒感染。雖然 Valve 提升帳戶驗證是好事,不過,有被入侵的開發者就指新措施的實際作用不大……
通過 Steamworks 發送遊戲更新檔
有玩連線電腦遊戲,應該都知道 Steam 的用途,它具備數碼版權管理(DRM)、多人連線遊戲、配對系統、成就系統、收款、遊戲內語音聊天及社區創作內容共享等功能,所以不少遊戲開發者都會選擇於 Steam 發布新遊戲,例如包含大帽山賽道的港人開發賽車遊戲 Rev to Vertex 亦選擇 Steam 作為發布平台。
不過,由 2023 年 8 月底到 9 月期間,就收到不少 Steamworks 帳戶遭受入侵的報告,黑客通過社交工程手法取得遊戲開發者的帳戶,並通過 Steamworks 將含有惡意功能的遊戲更新檔發送給用戶,由於更新來自官方帳戶,亦有開發者憑證,因此系統便會自動執行更新程序,將資料盜取惡意軟件安裝到受害者的電腦內。經調查後,Valve 向遊戲社群指出這次攻擊僅影響幾百名玩家,同時已通知個別受害用家及開發者,避免進一步受騙。
而為了提高安全性, Steam 宣布將 10 月 24 日將加入額外的驗證功能,開發者必須提供一個可使用的電話號碼,讓 Steam 可在開發者準備登入帳戶或發布更新時,向對方發送 SMS 驗證碼,減少開發者帳戶及玩家受到感染的風險。官方指新措施屬強制規定,如開發者未能及時提供接收 SMS 的電話號碼,將無法發表遊戲或更新檔。
新驗證功能非毫無漏洞
雖然引入雙重因素驗證(2FA)是好事,但卻並非毫無漏洞。一位遊戲開發者 Benoît Freslon 便指出他在 Discord 平台受騙,錯誤下載一個聲稱為遊戲試版的檔案,繼而被安裝資料盜取惡意軟件,他說黑客在入侵帳戶後,將帶有病毒的 NanoWar: Cells VS Virus 遊戲更新推送給其玩家。由於對方在自己的電腦上安裝了資料盜取軟件,當中更包括他登入 Steam 帳戶的 session token,因此只要 token 仍屬有效,黑客便可直接進入帳戶而毋須使用帳戶登入資訊,SMS 驗證措施便形同虛設,黑客依然可以利用受害開發者的帳戶繼續播毒。
另外,以 SMS 收發短訊,亦有可能被黑客以 SIM-swapping 方式騎劫驗證碼,安全專家便建議可考慮使用手機驗證 app 或硬體驗證鑰匙,對保護帳戶非常有幫助。
相關文章:【Hello Kitty】勒索軟件源始碼曝光 專家警告或出現大量變種
