Steam verplicht tweefactorauthenticatie via sms voor ontwikkelaarsaccounts

Steam gaat ontwikkelaars verplichten om sms-verificatie in te stellen. Dit doet het bedrijf nadat accounts van diverse Steam-ontwikkelaars waren overgenomen, waarna hackers hun games voorzagen van malware.

Vanaf 24 oktober wordt het voor ontwikkelaars verplicht om een telefoonnummer te koppelen aan hun Steamworks-account, laat Valve in een blogpost weten. Voor het aanpassen van een build op de 'default/public branch' van een uitgebrachte app, wordt vanaf dan standaard om sms-verificatie gevraagd. Dat houdt in dat ontwikkelaars niet langer een update voor een game kunnen uitbrengen zonder tweefactorauthenticatie. Ook als Steamworks-accounts nieuwe gebruikers willen toevoegen aan hun partnergroep, moeten ze gebruikmaken van 2fa. In de toekomst moet ook voor andere acties tweefactorauthenticatie gebruikt worden, laat Valve weten.

Valve verklaart aan PC Gamer dat het deze maatregel treft, omdat het sinds kort een stijging ziet in het aantal gerichte aanvallen op Steam-ontwikkelaaraccounts. Zo hebben hackers rond augustus de accounts van verschillende Steam-ontwikkelaars overgenomen, ontdekte X-gebruiker Simon Carless. Vervolgens werden de gamebuilds van de ontwikkelaars geïnfecteerd met malware en door middel van een automatische update naar spelers verspreid. Valve bevestigt de gebeurtenissen tegenover PC Gamer, maar zegt dat 'minder dan honderd' gebruikers de games hadden geïnstalleerd op het moment dat de malware werd toegevoegd. Deze groep gebruikers heeft inmiddels een e-mail ontvangen van Valve.

Door Kevin Krikhaar

Redacteur

12-10-2023 • 14:51

54

Reacties (54)

54
54
17
1
0
30
Wijzig sortering
Is er een link naar een lijst van games beschikbaar die geïnfecteerd waren ?
Een lijst kon ik niet vinden, wel een paar individuele developers die naar buiten zijn gekomen, maar geen complete lijst. Wel ben ik erachter gekomen dat Steam jou een notificatie geeft als je recentelijk één van de getroffen games hebt opgestart:
We are contacting you because you recently launched [...] on Steam. The Steam account for the developer of this game was recently compromised, and the attackers uploaded a new build that contained malware.
The compromised build was uploaded on Aug 24, 2023 @ 9:33AM PST and reverted on Aug 25, 2023 @ 12:06PM PST. If you played on Steam during this time period, it is likely that malware infected your computer.
The build containing the suspected malware was promptly reverted and purged from Steam, but we strongly encourage you to run a full system scan using an anti-virus product that you trust or use regularly and inspect your system for unexpected or newly installed software. You may also consider fully reformatting your operating system to ensure no malicious software remains on your machine.
Bron

Volgens de bron kunnen ontwikkelaars door collateraal ook de default branch niet meer aanpassen via SteamCMD.
Wel apart, geven zelf wel aan dat je elke willekeurige anti-virus kan gebruiken om het op te sporen en weg te halen..

Maar je hebt dus totaal geen bescherming binnen Steam zelf die controleert wat je upload?
Handig..
Maar je hebt dus totaal geen bescherming binnen Steam zelf die controleert wat je upload?
Handig..
Steam zou dan elke applicatie in een sandbox Moeten draaien voor enige tijd voordat ze kunnen scannen. Dit lijkt mij een ondoenlijke zaak. Als virus maker kun je dit prima controleren, en wel of niet het echte virus plaatsen nadat je heb gecontroleerd dat dit niet een test sandbox is van Steam. Als ik zo’n hacker had geweest, had ik azeker alle code ge-encrypt geüpload zodat dit niet te scannen valt. Ook encrypted opslaan zodat een virus scanner niet de fingerprint zit.
Ik had al enige tijd last met trackmania... een keer geprobeerd, speel ik verder niet, de automatische update faalde elke keer. Mijn virusscanner (ESET) werd getriggerd.

Wellicht is dat de reden geweest... ik was (lui) in de veronderstelling dat het wel bij mij zou liggen en verder geen aandacht aan besteed |:(
Gezien Valve zegt dat: "'minder dan honderd' gebruikers de games hadden geïnstalleerd op het moment dat de malware werd toegevoegd" denk ik niet dat Trackmania getroffen was. Klinkt alsof alleen een paar hobby developers gehackt waren.
Dat lijkt mij dan ook niet! Na een (korte) zoektocht heb ik het volgende plausibele antwoord gevonden:

"It is detected because VMProtect was used by NADEO to make reverse engineering their binaries more difficult and the binaries weren't signed appropriately which increases the threat level in some anti-viruses because it is often miss used by attackers to try and avoid detection."

Lijkt dus niets mis te zijn :)
Persoonlijk irriteer ik me aan de MFA via SMS, welke standaard als herstelfunctie is ingesteld. Inmiddels is het algemeen bekend dat je SMS gespooft kan worden en het dus niet veilig is. Geef dan de functionaliteit om het uit te schakelen.
Eens, maar het is echt wel flink wat meer moeite om dat ook weer te spoofen. Het is tenminste beter dan geen 2FA.
Het is niet alleen spoofen, maar het maakt het ook mogelijk om je telco te hacken/social engineeren zodat je een SIM kan aanvragen van jouw telefoonnummer.

Ik snap dan ook niet waarom er dan toch word gekozen voor 2fa via sms, en niet via bijvoorbeeld via hun eigen steamguard, of de standaard mfa dingen zoals authy, of nog beter passkeys
En je kan zelfs SS7 (In Nederland vaak C7 genoemd) hacken waarbij je SMSjes van anderen binnen kan krijgen.

Het is gebeurd in het verleden met bijvoorbeeld het Vodafone Sure Signal thuisbasisstation. En partijen die een hele telco runnen kunnen het sowieso. Je kan dat soort diensten gewoon op het darkweb bestellen (niet altijd echt zoals het artikel aangeeft maar vaak ook wel).

[Reactie gewijzigd door Llopigat op 27 juli 2024 11:42]

Is het ook mogelijk om SMS berichten te ontvangen die niet voor jou bedoeld zijn?
Zeker is dat mogelijk als je via het darkweb zoekt naar SS7 toegang, dan kan je met wat informatie van de simkaart alles van die telefoon (dus de core netwerk services, sms, voice) afluisteren, redirecten en afsluiten.

https://www.firstpoint-mg.com/blog/ss7-attack-guide/

Ok dat kost wat moeite, maar door nog steeds op technieken van 25 jaar geleden te vertrouwen is dit nog steeds mogelijk.

Naast natuurlijk de insider thread dat je iemand bij T-mobile of KPN vraagt om een nummer aan jouw “nieuwe” simkaart te koppelen.
Is mij wel eens overkomen, dus graag een onderbouwing van je nogal stellige “Nee!”.
Verkeerd nummer in vullen en dan bij de verkeerde uitkomen is wat anders dan 0612345678 in vullen en bij 0687654321 uitkomen
Dat is niet waar ik het over had…
Een sms die naar jou nummer wordt gestuurd komt echt niet bij een ander terecht. Andersom ook niet.

De enig manier om er controle te verliezen zou middels sim swapping zijn
Ja, mits je dan wel wat social engineering toepast, of iemand kent binnen de telefoonprovider die corrupt is met de juiste rechten.

Het probleem in deze is dat SMS inherent onveilig is. Er is geen end to end encryptie en middels illegale wegen een telefoonnummer overnemen is ook redelijk eenvoudig.

Dit soort aanvallen zullen natuurlijk niet gebruikt worden tegen jou en mij als doorsnee consument, maar wanneer je heel gericht te werk gaat omdat het loont, is het niet uit te sluiten.

Ik had liever gezien dat een hardware MFA verplicht gesteld zou worden. Dan zou je ook nog eens gericht moeten inbreken op de locatie waar deze MFA ligt. Dat verlegt de grens pas ver. Er is een groot verschil tussen online kwetsbaarheden of social engineering toe te passen en fysiek inbreken op locaties.
Ik vind het vooral vervelend dat er een extra handeling in zit, hoewel Apple nu vaak wel automatisch de code kan invullen én het sms'je kan verwijderen. Liever heb ik gewoon een code via een 2FA-app.
een code via een 2fa app is toch ook een extra handeling?
Inderdaad maar wat ik wel raar vind is dat je in de Steam-app op je telefoon of tablet een code kan genereren of de qr-code kan scannen om in te loggen. Wat een stuk veiliger is omdat het niet over the air gaat zoals een sms-bericht.
En als je telefoon met malware geinfecteerd is - wat geregeld via besmette Android en iOS apps gebeurt. Ook gewoon via de Play Store en Apple Store. - dan beschermt dat systeem je ook niet.

Het beste is een FIDO hardware sleutel.
Dit gaat om ontwikkelaarsaccounts.
Je hebt hier niet het excuus dat het laagdrempelig gehouden moet worden voor consumenten.
Ja, FIDO is het beste. Maar goed zo kan je nog wel even door gaan met "maar en als" bv zodra quantum computers normaal zijn dan heb je daar ook niks meer aan.
Alleen jammer dat de Steamguard zo verrekte traag is, had liever gezien dat ze die los hadden getrokken van de steam app, waar ik me ook zo aan irriteer dat die store links hijacked.
Heeft iedereen eindelijk password managers voor het gemak en de veiligheid.
Gaan ze overal 2fa door je strot duwen. Het is gewoon irritant.
Ik weet niet in welk universum jij leeft. In die van mij hebben echt alleen de mensen die iets meer weten van computers dan dat er een muis en toetsenbord aan zit, een password manager / 2fa / losse key. En als er dan diensten zijn die het forceren dan word dat dus als irritant bestempeld.

Maar het ging mij er om dat mensen de ene extra handeling blijkbaar minder irritant vinden dan de andere extra handeling?
Spoofen gaat om het veranderen van de afzender, in welke zin heeft dat invloed op de veiligheid van de 2FA?

Jij doet login poging op steam > Steam trigger 3e partij > 3e partij stuurt SMS met code naar jou 06

Het enige wat hierin gespoofed kan worden is de afzender die jij ziet bij het bericht op je telefoon, je zal daar waarschijnlijk Steam o.i.d. als afzender staan (wat in de basis al een gespoofte afzender is want de SMS word vanaf een telefoonnummer verstuurd en niet vanaf ' Steam' )
Het heeft beide voors en tegens. TOTP is slechts een shared secret. Als ik jouw token te pakken krijg (die zeer waarschijnlijk in dezelfde tabel zit als je gehashte wachtwoord) kan ik de benodigde codes genereren.

Het voordeel van SMS is dat er geen tokens worden opgeslagen. Alleen als iemand jouw telefoonnummer heeft, de middelen heeft om jouw SIM over te nemen EN jouw wachtwoord en gebruikersnaam heeft, dan kan iemand als jou inloggen en malafide code opsturen naar Valve.

Wat we in de praktijk het meeste zien gebeuren is dat in derdewereldlanden als de VS en het VK bankbetalingen worden geverifieerd met SMS (zoals de oude TAN-codes van de ING).
Dit is alleen een zinvolle aanval als je dus heel gericht aan de slag gaat.
Jammer dat steam nog steeds geen TOTP ondersteund voor 2FA, en ze hun eigen app opdringen.
TOTP en FIDO2. Er is geen excuus voor sites om die twee open standaarden niet te implementeren.
Steam is gewoon TOTP dacht ik, ze geven alleen de code niet aan jou. Zie: https://bitwarden.com/hel...r-keys/#steam-guard-totps
De enige reden die ik kan bedenken om dat te doen is om de adoptie van je eigen app (Steam mobile) te pushen.

Voor de veiligheid maakt het niks uit. Sterker nog het zal de adoptie in de weg staan omdat niet iedereen de Steam mobile app zal willen installeren die misschien wel een standaard TOTP app heeft.
De Steam Mobile app heeft ook z'n nut om item trades te kunnen bevestigen, dus wat dat betreft heeft het wel nut om dat samen te voegen. Vind het zelf alleen nog steeds jammer dat je het niet in je authenticator app naar keuze kan zetten, zonder de item trade bevestigingen dan.
> dus wat dat betreft heeft het wel nut om dat samen te voegen

Als je een samengevoegde optie wilt bieden in de Steam app kun je net zo goed authenticeren in de steam app als optie toevoegen (naast het bieden van TOTP als 2FA optie). Dus dat je in de app toestemming moet geven zodra er een inlog poging is. Beide manier zijn ongeveer even veilig. Als je meer veiligheid tegen phishing wilt heb je iets zoals FIDO2 nodig.
Ze gebruiken wel TOTP, alleen kiezen zij ervoor om met een uitgebreidere tekenreeks te werken met 0-9.

Er zijn een paar derdepartijtools die ook hun variant begrijpt volgens mij (ik heb wel is wat voorbij zien komen)
Dan gebruiken ze dus geen standaard TOTP.
Je hebt dan een app nodig die specifiek hun dialect praat.

Daarnaast heb je ook geen enkele garantie, nul-komma-nul, dat hun protocol hetzelfde zal blijven werken. En zijn third-party apps niet officieel ondersteund en zullen vanuit Valve, waar de term 'klantondersteuning' toch al flienterdun begrepen wordt, geen aandacht krijgen.

Maw. als je een third-party app gebruikt voor 2FA kan het goed zijn dat 'ie op een dag ineens niet meer werkt, en je nooit meer terug je account in komt. (Hopelijk had je nog recovery codes op papier staan, dan.)

[Reactie gewijzigd door R4gnax op 27 juli 2024 11:42]

Klopt helemaal. Valve wil in de praktijk graag dat je hun app gebruikt. Hun systeem biedt een complexere code. Of dat effectief in de praktijk veiliger is, betwijfel ik, maar dat is hun keus.

Ik weet eigenlijk niet hoe het geregeld is als je telefoon stuk gaat? Moet je dan ook de herstelcodes gebruiken? Of kan je het op een andere manier regelen? Gaat het mee met de cloud-backups? (Dan is het alleen lastig als je bijvoorbeeld van Android naar iOS gaat met een kapotte telefoon en je ook nog is niet ingelogd bent en geen ‘vertrouwd’ apparaat hebt)
Ik weet eigenlijk niet hoe het geregeld is als je telefoon stuk gaat? Moet je dan ook de herstelcodes gebruiken?
Ja.

Tenminste; als dat op het moment weer werkt.
Valve's nieuwe lichting ontwikkelaars heeft ze niet alle 24 in een kratje en met het live zetten van hun nieuwe login omgeving die op React gebaseerd is hadden ze een kleine oopsie-woopsie gemaakt.

De normale bevestigingscodes en de herstelcodes hebben andere lengtes.
Het invoerveld stond vast geconfigureerd met een validator die enkel de lengte van een normale bevestingscode accepteerde.

Toen die constructie live ging kon je dus letterlijk je herstelcodes niet gebruiken.

Je zou denken dat ze in elk geval tegen de basale 'happy flow' van alle features toch automated tests hebben geschreven. Je zou denken dat die automatisch bij een regressie test meegaan voordat een nieuwe build de deur uit gaat. En je zou denken dat ze zeker bij security-gerelateerde zaken daar extra voorzichtig mee om zouden gaan.

Maar dan realiseer je je opeens: ach, nee. Natuurlijk niet. We hebben het hier tenslotte over Valve. Wiens update; bugfix; en security beleid ongeveer zo transparent is als beton.

Ze hebben trouwens nog steeds de versie van Chromium waar Steam op draait niet bijgewerkt.
Dus Steam is (naast de gatenkaas die het al was; want ze zitten nog op Chromium v85 of zo, 3 jaar oud) nog steeds ontvankelijk voor de libwebp en libvpx exploits. Teken aan de wand.

En nu dus blijkt dat er developer accounts overgenomen zijn geweest, zijn in principe al die store pages een aanvalsvector voor die exploits. Wie gaat garanderen dat Valve die allemaal goed opgeruimd heeft?

[Reactie gewijzigd door R4gnax op 27 juli 2024 11:42]

Je bent duidelijk geen fan! 🤔
Ik heb een 14 jaar oude Steam account.
Ik ben juist een enorme fan van Steam en het principe waarop het door Gabe Newell ooit gestart is.
Maar niet van het corporate gedrocht wat tegenwoordig de huid draagt van.

Valve is al lang niet meer good guy Valve - alleen willen mensen dat gewoon niet zien.

[Reactie gewijzigd door R4gnax op 27 juli 2024 11:42]

Duidelijk 😊
Ik heb persoonlijk niets met steam (ook niet tegen). Ik ben verder niet bekend met hoe Valve z’n ding doet.
Wat je beschrijft is minimaal onwenselijk😊

Voor mij is Steam puur een middel om toegang te hebben tot m’n spellen.
Als het bijvoorbeeld via de Windows Store gekund, had ik Steam zo laten vallen. (Gezien ik dan al wat had)

[Reactie gewijzigd door lenwar op 27 juli 2024 11:42]

Eerlijk ik vindt het zeer raar dat steam geen TOTP ondersteund, ik vindt dit persoonlijk veel fijner werken dan SMS/E-mail en het is ook nog meer secure als je de TOTP secrets beschermd houd.
Je zou denken dat mensen die content beheren zelf wel de ogen zouden openen na alles wat er bijvoorbeeld al jaren op Youtube gebeurd. Het grote Linus Tech Tips fenomeen van een tijd geleden was een sterk voorbeeld van wat er fout kan gaan maar het was bij lange na niet het eerste voorbeeld. Zelfs Jim Browning, een populair kanaal wat gericht is op het dwarszitten van scammers, heeft zelf het account tijdelijk verloren en zag het kanaal verwijderd worden, in 2021.

Dat verdient toch echt een hoop respect voor hoe snel en eenvoudig het kan gebeuren. 1 moment van zwakte, boem. Je bron van inkomen is je afgenomen. Hoe meer mensen toegang hebben tot je account, des te meer points of failure.

Toch niet, blijkbaar :/ Gemakzucht dient de mens. 2FA? Ah dat komt nog wel een keertje...
Waarom nou weer de méést onveilige MFA die er bestaat...? Ok het is nog steeds beter dan géén MFA, maar kom op.. SMS ? Really..?
Kennelijk is men van mening dat er geen uitleg nodig is welk middel men kiest. Wat me niets verbaasd als zowel het bedrijf als de ontwikkelaars het beschermen meer lijken te zien als middel om achteraf iets op te lossen, in plaats van rekening te houden met problemen die men veroorzaakt.
Als je het deployen van je builds automatiseert ipv middels een handmatige flow, dan kun je een Steam account ID registreren die confirmation requests gaat ontvangen en moet bevestigen in de Steam Mobile app.

Uit Valve's berichtgeving:
Q: I set my builds live to the default branch via SetAppBuildLive. Will I still need to enter a SMS code?
A: That’s impressive! We’ve also updated this API to take in a steamID, and will send that steamID a confirmation request via the Steam Mobile app. So be sure you have access to the Steam account that is passed in, and have the Steam Mobile app ready to use. Note that on October 24, 2023, we’ll be updating version 1 of this API to require a valid steamID. You can begin testing this by using version 2 of this API and supplying an additional “steamid” parameter along with the existing parameters. You will always be able to pass in a steamID to require confirmation of the build if you’d like, but the “steamid” parameter will only be required for changes to the public/default branch of a released app. You may continue using existing infrastructure to upload beta branches, or apps that are not yet released without supplying a “steamid” for confirmation for quicker iteration.
Het wordt ook in de discussie thread volgend op dat artikel nog uitgelicht:
https://steamcommunity.co...ail_#c3877094315124741906

[Reactie gewijzigd door R4gnax op 27 juli 2024 11:42]

Ik wou dat ze die voor gebruikers eens uit lieten zetten.

Regelmatig moet ik opnieuw inloggen en dan weer zo'n vervelende key via email binnen krijgen. TOTP of FIDO2 staan ze niet toe :(

En iets belangrijks staat er toch niet in mijn steam account. Een gewoon paswoordje is genoeg.

[Reactie gewijzigd door Llopigat op 27 juli 2024 11:42]

Het gaat echter niet alleen om jou. Als jouw account overgenomen zou worden door malafide partijen, dan kan die ook gebruikt worden voor social engineering richting andere gebruikers. Bijv. nepberichten in een chat richting mensen op je friends list zetten, die hen naar een phishing site leiden.

Je reputatie onder de mensen op je friends list is dan de waarde van je account.

[Reactie gewijzigd door R4gnax op 27 juli 2024 11:42]

Ik heb helemaal geen mensen op mijn friend list :') Ik game altijd solo. Het is een game launcher, geen sociaal netwerk.

En ik ga goed met mijn paswoorden om om, die worden niet gehackt.

[Reactie gewijzigd door Llopigat op 27 juli 2024 11:42]

Op diverse plekken zijn bedrijven juist al de beweging aan het maken om SMS niet langer als MFA te accepteren omdat SMS simpelweg gewoon niet veilig genoeg is. Spoofing enz. is hier veel te makkelijk bij.

Natuurlijk is het goed dat ze MFA verplicht stellen, maar kies dan op zijn minst een veiligere variant.
Nederlandse banken hebben er al heel lang geleden afscheid van genomen. SMS is gewoon al een hele tijd geen veilige MFA meer. Bizar dat dit verplicht wordt gesteld. Er zijn legio alternatieven, bijvoorbeeld via authentication app op je smartphone. Die zijn echt factoren moeilijker te kraken.
Ze verplichten een onveilige 2FA methode? Waarom dan niet gewoon app-based of key based optie geven. SMS 2FA is gewoon niet veilig. Simjacking bestaat, en codes kunnen onderschept worden.

Op dit item kan niet meer gereageerd worden.