行业新闻与博客

Valve 正在通过为开发者引入短信验证来增强其 Steamworks 平台的安全性，旨在防止未来黑客渗透开发者帐户的事件。 

此举是为了回应之前的违规行为，其中恶意行为者破坏了开发者的帐户并将恶意软件注入到各种游戏版本中。

据《PC Gamer》证实，虽然这些攻击影响的 Steam 用户不到 100 名，但《NanoWar: Cells VS Virus》的开发者 Benoît Freslon 于 10 月 11 日在 X（前身为 Twitter）上透露，黑客控制了他的浏览器访问令牌。这使他们能够访问与 Freslon 登录帐户相关的任何服务。

“这反映了过去几年我们看到的一种趋势，即攻击者将攻击重点转移到经常能够访问科技公司皇冠上的明珠——他们的源代码的开发人员身上，”Ken Westin 评论道。黑豹实验室。

这位安全专家表示，当渗透者访问代码存储库、DevOps 工具和云基础设施时，获得经济利益的潜力是巨大的。他们的能力不仅限于代码盗窃和恶意软件部署，还包括插入恶意代码，从而损害下游客户。

威斯汀解释说：“这一趋势不仅越来越多地被犯罪集团利用，也越来越多地被民族国家行为者所利用，正如我们在朝鲜的拉撒路集团所看到的那样。”

威斯汀补充道：“组织需要采取额外措施，不仅保护开发人员本身的安全，还保护他们日常交互的环境——那些拥有特权访问权限的人尤其容易受到攻击。”

Valve 目前正在采取措施阻止此类违规行为。该公司宣布将在免费的开发工具套件 Steamworks 中实施更改，特别是在构建管理和 Steamworks 组的用户添加方面。

这些更改将要求将电话号码与用户的 Steamworks 帐户相关联。当开发人员尝试将构建更新到默认分支时，Steam 将通过短信向任何已发布的应用程序发送确认代码。当 Steamworks 管理员邀请新群组成员时，将应用类似的双因素身份验证 (2FA) 流程。

这些安全增强功能计划于 10 月 24 日实施，促使 Steam 用户确保他们的电话号码与其帐户相关联。 

此外，Steam 还暗示将来会将这一要求扩展到其他 Steamworks 操作中。