Аккаунты нескольких разработчиков игр в Steam недавно были взломаны и использовались для распространения вредоносного ПО через обновления игр. По данным Valve, после добавления вредоносного ПО игру установили менее 100 пользователей, и они были проинформированы о риске по электронной почте.

Хотя этот инцидент затронул не так уж много людей, Valve предприняла значительные шаги, чтобы предотвратить повторение подобного. Начиная с 24 октября разработчикам игр необходимо будет пройти проверку личности с помощью двухфакторной аутентификации перед обновлением версии ветки по умолчанию опубликованной игры. «Ветка по умолчанию» — это версия, которую Steam отправляет большинству установленных игроков в автоматических обновлениях.

Эта двухфакторная проверка требует получения текстовых сообщений на мобильный телефон, поэтому будущие разработчики игр Steam должны привязать номера мобильных телефонов. Valve выразила сожаление по поводу этого изменения разработчикам, у которых нет номеров мобильных телефонов, но если они хотят продолжать обновлять игру, у разработчиков должен быть мобильный телефон или другое средство для получения текстовых сообщений.

Valve сообщила PCGamer, что это «неудобство» для партнеров является «необходимым компромиссом для обеспечения безопасности пользователей Steam и осведомленности разработчиков о любых потенциальных угрозах для их учетных записей».

И в Valve также заявили, что это не единичный инцидент. Компания заявила, что в последнее время наблюдается рост числа «изощренных атак», нацеленных на учетные записи разработчиков опубликованных игр в Steam.

В будущем разработчики Steam также будут обязаны выполнять двухфакторную проверку по SMS при добавлении новых пользователей в группы компаний. Valve заявила, что планирует в будущем добавить двухфакторную проверку к другим операциям бэкэнда Steam.

Одна из затронутых игр включает NanoWar: CellsVSVirus. Разработчик Бенуа Фреслон заявил в Твиттере (X), что он сам стал жертвой вредоносного ПО, которое украло токен доступа в его браузере, позволяя злоумышленнику получить доступ к любому веб-сервису, в который он вошел. «Я думаю, что это было за несколько часов до взлома, когда я выпустил игру, используя свою учетную запись разработчика», — сказал он.