Valve объяснили причины введения подтверждений обмена через телефон и задержки предметов на 3 дня

Valve, озабоченные недовольством пользователей по поводу недавнего внедрения новых мер безопасности, написали обширный пост в Steam, в котором объяснили все причины, мотивы и последствия своих решений.

«В последние дни мы заметили, как сообщество яро обсуждает плюсы и минусы введения новой системы задержки обмена предметами. Мы подумали, что стоит объяснить, исходя из чего мы приняли решение о ее внедрении, в надежде, что это поможет вам понять, почему это было абсолютно необходимо.

Кража вещей и аккаунтов

Кража аккаунтов имела место с самого запуска Steam, но с внедрением системы обмена предметами проблема усугубилась в 20 раз и превратилась в первоочередную жалобу наших пользователей. Когда у вас украли аккаунт, а все вещи продали – это ужасно. Мы были очень недовольны тем, что все чаще и чаще наши пользователи сталкивались с этим.

Как только аккаунт попадает в руки злоумышленника, весь инвентарь очень быстро вычищается. Украденные предметы снова и снова подлежат обмену: в конечно итоге они попадают в руки невинного пользователя. Взглянув на активность аккаунта, нетрудно понять, что произошло, но аннулировать кражу не так уж и просто, потому что мы не хотим забирать вещи у ни в чем не повинных пользователей. Мы решили подстраховать их с точки зрения защиты: мы оставляем украденные вещи, а их дубликаты возвращаем владельцу скомпрометированного аккаунта. Мы полностью осознаем, к чему приводит такая политика. Копирование украденных вещей обесценивает все остальные эквивалентные вещи на рынке. На обычных предметах, может быть, оно сказывается и не так сильно, но для более редких вещей такая политика может потенциально привести к существенному увеличению их количества на рынке.

Количество украденных аккаунтов продолжает расти

Такое положение вещей было недопустимым, проблему нужно было решать. Мы пересмотрели нашу стратегию и приняли к сведению две вещи.

Во-первых, в системе теперь циркулируют достаточные по объему денежные потоки, чтобы кража виртуальных вещей в Steam превратилась в настоящий бизнес для подкованных хакеров. Во-вторых, практически каждый активный пользователь Steam вовлечен в систему экономики через обладание предметами или карточками для обмена, владея достаточным количеством ценностей для того, чтобы хакер решил потратить свое время на взлом аккаунта. Фактически каждый Steam аккаунт стал мишенью.

Взлом аккаунтов стал обычным делом, и поэтому легко забыть о том, насколько эта проблема существенна; взломанные почтовые ящики и компьютеры, взломанные аккаунты Steam и их кража. Раньше мы придерживались мнения, что, если вы достаточно умны, чтобы озаботиться безопасностью своего аккаунта, вам ничего не угрожает – легко предположить, что пользователи, чьи аккаунты подвергались взлому, были новичками или настолько наивными, что разглашали свои пароли третьи лицам или переходили по подозрительным ссылкам. Дело совершенно не в этом.

Раньше была горстка хакеров, теперь это целая высокоэффективная и организованная сеть, которая занимается кражей и продажей вещей. Для них проще всего атаковать тех пользователей, которые не понимают, как защитить себя в онлайне, но широкое распространение предметов дало стимул хакерам атаковать любого. Около 77 тысяч аккаунтов подвергаются взлому и ограблению каждый месяц. Вы думаете, что все эти аккаунты принадлежат новичкам или наивным пользователям? Как бы не так, в их число входят профессиональные игроки в CS:GO, юзеры реддита, люди, занимающиеся торговлей вещей и т. д. Любой пользователь может стать мишенью как часть большой группы или даже в индивидуальном порядке. Хакеры могут месяцами неотступно пытаться получить доступ к аккаунту. Попытки защитить ваши предметы – это безнадежная борьба против тех, которые зарабатывают себе на жизнь их кражей.

Мы можем помочь тем пользователям, которые подверглись взлому, путем восстановления доступа к их аккаунтам и возвращения украденных вещей, однако это никак не сдерживает бизнес по взлому аккаунтов. Становится только хуже.

Как это остановить

Мы работали нам улучшением безопасности аккаунтов, над закрытием дыр в безопасности и улучшением системы, которая оповещает юзеров о том, что их аккаунт находится в зоне риска; мы добавили автоматическую блокировку и создали Steam Guard Mobile Authenticator (система двухфакторной аутентификации).

Двухфакторная авторизация использует отдельное устройство для подтверждения вашей личности. Безопасность этой системы построена на том, чтобы выйти за пределы компьютера в сторону использования устройства, к которому хакер не может получить доступ. К примеру, таким устройством является ваш смартфон. Компьютеры могут быть легко взломаны, так что аутентификатор, установленный на компьютере, не даст защиты лучшей, чем пароль или система аутентификации с использованием почтового аккаунта.

Нам необходимо было создать собственный двухфакторный аутентификатор, потому что мы должны показывать пользователям содержимое сделки по обмену на отдельном устройстве, где они и могут подтвердить эту сделку. Требование от пользователей брать код из обычного аутентификатора и вводить его в скомпрометированный компьютер с целью подтвердить сделку означало было, что хакер мог бы легко обмануть пользователя и завладеть его предметами. Поэтому для подтверждения обмена использование сторонних аутентификаторов, таких как Google Authenticator, не представляется возможным.

Компромисс

На текущий момент большинство пользователей не озаботилось защитой своих аккаунтов повышенным уровнем безопасности. Многие думают, что не обладают такими ценностями, чтобы хакер тратил на них свое время. Другие считают, что они достаточны умны с точки зрения безопасности, чтобы не прибегать к использованию двухфакторной аутентификации. Третьи осознают необходимость повышенных мер безопасности, однако не могут их использовать по причинам, от них не зависящим – к примеру, у них нет доступа к мобильному телефону.

Поэтому вместо того, чтобы пытаться мешать хакерам красть аккаунты Steam, в которых не активирована система двухфакторной аутентификации, мы попытались лишить хакеров возможности получать прибыль от краж. Если хакеры не могут перенести награбленные вещи на другой аккаунт, то они и не могут их продать за реальные деньги, а это лишит их главного стимула к краже аккаунтов. Хакеры в своей деятельности полаются на систему обмена вещей, с помощью которой они могут сбыть награбленное. Steam Community Market для этой цели непригоден, поскольку купленные предметы не могут быть быстро перемещены на другой аккаунт (купленные предметы нельзя обменивать в течение 7 дней), и хакеры, следовательно, не могут быть уверены в том, что вещи будут перемещены на подконтрольный им аккаунт.

Проблему можно было бы решить, просто избавившись от системы обмена предметами. Подавляющее большинство предметов и так проходит через Steam Market. В отличие от прямого обмена между пользователями, мы даже получаем доход с этих транзакций, что помогает покрыть убытки от мошенничества. Удаление системы обмена было бы самым легким решением проблемы. Но мы посчитали, что это плохой выбор с точки зрения пользователей. Другим легким решением проблемы было бы принуждение к использованию при обмене двухфакторной системы аутентификации, но это решение такое же плохое, как и удаление системы обмена. Важно, чтобы у вас была возможность дать вашему другу оружие в TF2, когда он только пробует игру, или дать другу последнюю карточку, которая ему нужна для крафта значка.

Мы поняли, что двухфакторная аутентификация обеспечивает достаточный уровень защиты для каждого пользователя, который активировал эту функцию. Так что теперь нужно было решить проблему с теми аккаунтами, который не могли ее активировать (например, нет доступа к мобильному телефону). В конце концов мы пришли к следующим нововведениям:

  • Любой пользователь, который хочет отдать вещи, должен как минимум за 7 дней до совершения обмена включить Steam Guard Mobile Authenticator, а также включить систему подтверждения обмена. В противном случае предметы будут удержаны в Steam до трех дней, прежде чем они будут доставлены.
  • Если обмен производится с человеком, который является вашим другом по меньшей мере год, то предметы будут удержаны максимум на сутки, прежде чем они будут доставлены.
  • Те аккаунты, где мобильный аутентификатор активирован хотя бы в течение 7 дней, более не будут ограничены в использовании системы обмена или Маркета при использовании нового устройства, поскольку обмен на новом устройстве будет защищен мобильным аутентификатором.

Это значит, что любой пользователь, который использует Steam Guard Mobile Authenticator для подтверждения обмена, может совершать обмен как и прежде. Пользователи, которые еще не активировали эту функцию или не могут ее активировать, по-прежнему могут совершать обмен, однако процедура обмена может длиться до трех суток. Это время даст как пользователям, так и Steam, возможность обнаружить акт взлома аккаунта и вернуть доступ прежде, чем хакер сможет украсть вещи.

Трудности баланса

Еще раз отметим, что мы полностью осознаем, что такой компромисс может потенциально очень сильно отразиться на торговле. Всякий раз, когда мы заставляем наших пользователей следовать мерам безопасности, мы усложняем использование наших продуктов. К сожалению, в этот раз нам показалось, что мы либо вынуждены прибегнуть к таким мерам, либо вовсе закрыть всю систему. Требование от пользователей вводить пароль при входе в аккаунт – это нечто такое, над чем мы уже не задумываемся, но это работает по абсолютно такому же принципу – это плата за то, чтобы система могла функционировать. Мы сделали все возможное, чтобы эта плата была как можно меньшей и коснулась как можно меньшего количества людей, при этом сохраняя свою эффективность.

Мы надеемся, что этим постом расширили ваш взгляд на проблему и на то, почему мы решили прибегнуть к такому подходу. Как и всегда, мы продолжим читать дискуссии сообщества на форумах Steam и в интернете в целом. Нам не терпится узнать, что вы думаете по этому поводу».

Источник: store.steampowered.com