Valve объяснили причины введения подтверждений обмена через телефон и задержки предметов на 3 дня
Valve, озабоченные недовольством пользователей по поводу недавнего внедрения новых мер безопасности, написали обширный пост в Steam, в котором объяснили все причины, мотивы и последствия своих решений.
«В последние дни мы заметили, как сообщество яро обсуждает плюсы и минусы введения новой системы задержки обмена предметами. Мы подумали, что стоит объяснить, исходя из чего мы приняли решение о ее внедрении, в надежде, что это поможет вам понять, почему это было абсолютно необходимо.
Кража вещей и аккаунтов
Кража аккаунтов имела место с самого запуска Steam, но с внедрением системы обмена предметами проблема усугубилась в 20 раз и превратилась в первоочередную жалобу наших пользователей. Когда у вас украли аккаунт, а все вещи продали – это ужасно. Мы были очень недовольны тем, что все чаще и чаще наши пользователи сталкивались с этим.
Как только аккаунт попадает в руки злоумышленника, весь инвентарь очень быстро вычищается. Украденные предметы снова и снова подлежат обмену: в конечно итоге они попадают в руки невинного пользователя. Взглянув на активность аккаунта, нетрудно понять, что произошло, но аннулировать кражу не так уж и просто, потому что мы не хотим забирать вещи у ни в чем не повинных пользователей. Мы решили подстраховать их с точки зрения защиты: мы оставляем украденные вещи, а их дубликаты возвращаем владельцу скомпрометированного аккаунта. Мы полностью осознаем, к чему приводит такая политика. Копирование украденных вещей обесценивает все остальные эквивалентные вещи на рынке. На обычных предметах, может быть, оно сказывается и не так сильно, но для более редких вещей такая политика может потенциально привести к существенному увеличению их количества на рынке.
Количество украденных аккаунтов продолжает расти
Такое положение вещей было недопустимым, проблему нужно было решать. Мы пересмотрели нашу стратегию и приняли к сведению две вещи.
Во-первых, в системе теперь циркулируют достаточные по объему денежные потоки, чтобы кража виртуальных вещей в Steam превратилась в настоящий бизнес для подкованных хакеров. Во-вторых, практически каждый активный пользователь Steam вовлечен в систему экономики через обладание предметами или карточками для обмена, владея достаточным количеством ценностей для того, чтобы хакер решил потратить свое время на взлом аккаунта. Фактически каждый Steam аккаунт стал мишенью.
Взлом аккаунтов стал обычным делом, и поэтому легко забыть о том, насколько эта проблема существенна; взломанные почтовые ящики и компьютеры, взломанные аккаунты Steam и их кража. Раньше мы придерживались мнения, что, если вы достаточно умны, чтобы озаботиться безопасностью своего аккаунта, вам ничего не угрожает – легко предположить, что пользователи, чьи аккаунты подвергались взлому, были новичками или настолько наивными, что разглашали свои пароли третьи лицам или переходили по подозрительным ссылкам. Дело совершенно не в этом.
Раньше была горстка хакеров, теперь это целая высокоэффективная и организованная сеть, которая занимается кражей и продажей вещей. Для них проще всего атаковать тех пользователей, которые не понимают, как защитить себя в онлайне, но широкое распространение предметов дало стимул хакерам атаковать любого. Около 77 тысяч аккаунтов подвергаются взлому и ограблению каждый месяц. Вы думаете, что все эти аккаунты принадлежат новичкам или наивным пользователям? Как бы не так, в их число входят профессиональные игроки в CS:GO, юзеры реддита, люди, занимающиеся торговлей вещей и т. д. Любой пользователь может стать мишенью как часть большой группы или даже в индивидуальном порядке. Хакеры могут месяцами неотступно пытаться получить доступ к аккаунту. Попытки защитить ваши предметы – это безнадежная борьба против тех, которые зарабатывают себе на жизнь их кражей.
Мы можем помочь тем пользователям, которые подверглись взлому, путем восстановления доступа к их аккаунтам и возвращения украденных вещей, однако это никак не сдерживает бизнес по взлому аккаунтов. Становится только хуже.
Как это остановить
Мы работали нам улучшением безопасности аккаунтов, над закрытием дыр в безопасности и улучшением системы, которая оповещает юзеров о том, что их аккаунт находится в зоне риска; мы добавили автоматическую блокировку и создали Steam Guard Mobile Authenticator (система двухфакторной аутентификации).
Двухфакторная авторизация использует отдельное устройство для подтверждения вашей личности. Безопасность этой системы построена на том, чтобы выйти за пределы компьютера в сторону использования устройства, к которому хакер не может получить доступ. К примеру, таким устройством является ваш смартфон. Компьютеры могут быть легко взломаны, так что аутентификатор, установленный на компьютере, не даст защиты лучшей, чем пароль или система аутентификации с использованием почтового аккаунта.
Нам необходимо было создать собственный двухфакторный аутентификатор, потому что мы должны показывать пользователям содержимое сделки по обмену на отдельном устройстве, где они и могут подтвердить эту сделку. Требование от пользователей брать код из обычного аутентификатора и вводить его в скомпрометированный компьютер с целью подтвердить сделку означало было, что хакер мог бы легко обмануть пользователя и завладеть его предметами. Поэтому для подтверждения обмена использование сторонних аутентификаторов, таких как Google Authenticator, не представляется возможным.
Компромисс
На текущий момент большинство пользователей не озаботилось защитой своих аккаунтов повышенным уровнем безопасности. Многие думают, что не обладают такими ценностями, чтобы хакер тратил на них свое время. Другие считают, что они достаточны умны с точки зрения безопасности, чтобы не прибегать к использованию двухфакторной аутентификации. Третьи осознают необходимость повышенных мер безопасности, однако не могут их использовать по причинам, от них не зависящим – к примеру, у них нет доступа к мобильному телефону.
Поэтому вместо того, чтобы пытаться мешать хакерам красть аккаунты Steam, в которых не активирована система двухфакторной аутентификации, мы попытались лишить хакеров возможности получать прибыль от краж. Если хакеры не могут перенести награбленные вещи на другой аккаунт, то они и не могут их продать за реальные деньги, а это лишит их главного стимула к краже аккаунтов. Хакеры в своей деятельности полаются на систему обмена вещей, с помощью которой они могут сбыть награбленное. Steam Community Market для этой цели непригоден, поскольку купленные предметы не могут быть быстро перемещены на другой аккаунт (купленные предметы нельзя обменивать в течение 7 дней), и хакеры, следовательно, не могут быть уверены в том, что вещи будут перемещены на подконтрольный им аккаунт.
Проблему можно было бы решить, просто избавившись от системы обмена предметами. Подавляющее большинство предметов и так проходит через Steam Market. В отличие от прямого обмена между пользователями, мы даже получаем доход с этих транзакций, что помогает покрыть убытки от мошенничества. Удаление системы обмена было бы самым легким решением проблемы. Но мы посчитали, что это плохой выбор с точки зрения пользователей. Другим легким решением проблемы было бы принуждение к использованию при обмене двухфакторной системы аутентификации, но это решение такое же плохое, как и удаление системы обмена. Важно, чтобы у вас была возможность дать вашему другу оружие в TF2, когда он только пробует игру, или дать другу последнюю карточку, которая ему нужна для крафта значка.
Мы поняли, что двухфакторная аутентификация обеспечивает достаточный уровень защиты для каждого пользователя, который активировал эту функцию. Так что теперь нужно было решить проблему с теми аккаунтами, который не могли ее активировать (например, нет доступа к мобильному телефону). В конце концов мы пришли к следующим нововведениям:
- Любой пользователь, который хочет отдать вещи, должен как минимум за 7 дней до совершения обмена включить Steam Guard Mobile Authenticator, а также включить систему подтверждения обмена. В противном случае предметы будут удержаны в Steam до трех дней, прежде чем они будут доставлены.
- Если обмен производится с человеком, который является вашим другом по меньшей мере год, то предметы будут удержаны максимум на сутки, прежде чем они будут доставлены.
- Те аккаунты, где мобильный аутентификатор активирован хотя бы в течение 7 дней, более не будут ограничены в использовании системы обмена или Маркета при использовании нового устройства, поскольку обмен на новом устройстве будет защищен мобильным аутентификатором.
Это значит, что любой пользователь, который использует Steam Guard Mobile Authenticator для подтверждения обмена, может совершать обмен как и прежде. Пользователи, которые еще не активировали эту функцию или не могут ее активировать, по-прежнему могут совершать обмен, однако процедура обмена может длиться до трех суток. Это время даст как пользователям, так и Steam, возможность обнаружить акт взлома аккаунта и вернуть доступ прежде, чем хакер сможет украсть вещи.
Трудности баланса
Еще раз отметим, что мы полностью осознаем, что такой компромисс может потенциально очень сильно отразиться на торговле. Всякий раз, когда мы заставляем наших пользователей следовать мерам безопасности, мы усложняем использование наших продуктов. К сожалению, в этот раз нам показалось, что мы либо вынуждены прибегнуть к таким мерам, либо вовсе закрыть всю систему. Требование от пользователей вводить пароль при входе в аккаунт – это нечто такое, над чем мы уже не задумываемся, но это работает по абсолютно такому же принципу – это плата за то, чтобы система могла функционировать. Мы сделали все возможное, чтобы эта плата была как можно меньшей и коснулась как можно меньшего количества людей, при этом сохраняя свою эффективность.
Мы надеемся, что этим постом расширили ваш взгляд на проблему и на то, почему мы решили прибегнуть к такому подходу. Как и всегда, мы продолжим читать дискуссии сообщества на форумах Steam и в интернете в целом. Нам не терпится узнать, что вы думаете по этому поводу».
Источник: store.steampowered.com
Комментарии
Давно пора уже было обновить стиму систему безопасности=) Столько дорогих вещей подешевело изза всякого рода обманьшиков... Да и людей не моло пострадало от одних только стим стилеров... Возможно немного неудобно каждый раз потверждать обмен. Но все же кажеться не такой уж и большой платой за зашиту инвентаря.
Го 1 на 1 на миду с диглом без крипов?
куки, зачёт!
Ну а почему бы просто не возвращать вещи тем кто не включил подтверждения, я думаю так было бы гараздо логичнее и не затрудняло обмены для продвинутых пользователей стима.
Прочитай теме еще раз они довольно таки подробно обьясняют почему они добавили подтверждений обмена через телефон и задержки предметов на 3 дня...
)
Коннечно всё это хорошо, но есть но, а что же делать тем кто у же был обманутым? до добовление у меня было такая херня что меня обокрали, и я остался без нечего а все веши я собирал 2 года, вещей было больее 600 шт от рарок до аркан, и что мне делать? конечно все скажуть ну я сам виновать, но всё же надо было хотя бы сделать огроничение на какой то вид хотя бы вернут иморталок и аркан.
Ребята давайте поддержим пацана, я скину тебе шмотку, лайкните пусть получить какой нибудь иморталку, у меня такая же херня была!!!
лойс
Увидел пост жалости и страдания.
Искренне тебя поддерживаю, ибо был трижды жертвой взлома и потери дорогих мне вещей.
Знаю, что это такое.
И потому поставил тебе плюсик.
Очень надеюсь, что ты полючишь свою заслуженную имморталочку:)
Текста много, толку мало. Готовились вольво, готовились и как всегда налажали. Глупых школьников никакая аутентификация не спасет
если долго мучатся что не будь получится ... Я согласен горбатого только могила исправит, путь к сбалансированному - обмену и безопасности очень сложный, но даже Я не могу понять: ЮЗЕР получил обмен, не отдаёт свои вещи, все эти меры безопасности для него излишни !
Где мой сет за рампагу?
Валве респект за обнову ))
Для рядового пользователя - отличное обновление в сфере безопасности.
Валве могли например так сделать:
Например в настройка добавть пункт "Защита трейда"
1)отключить защиту
2)стандартная защита (удержка вещей 3 дня)
3)мобильный индефикатор
Красным написать в случай полной отключение защиты шмот не возращаеться.
идея очень хорошая. лайк)
Блин красава чувак, я тебя полностью поддерживаю вот так и нужно было сделать, а не польностью всем принудительно вводить!
Кто то еще мне дезлайки ставит.Моя идея не изменило суть валве,просто улутщает трейд.Не у всех есть устройства на android или ios.(Лично сам знаю несколько).Ставить всякие эмуляторы за которые надо платить деньги что б они нормально работали глупо.Куча багов в этой зашите.Спасибо за бан 7 дней.
Ты тему внимательно читал? Валв ясно дали понять, что это защита прежде всего направлена против возможности получения прибыли хакерами. Они могли бы давно придумать еще какие-нибудь меры, но не одна из них не смогла бы лишить возможности хакера наживиться. А то что ты предлагаешь - это один из вариантов защиты, который не смог бы полностью закрыть эту дыру.
Если по теме, то через месяц все забудут про сложности с телефонами. Кто-то будет принимать код через мобильный, кто-то через эмулятор на компьютере. И последние дадут возможность хакерам хоть как-то продолжить зарабатывать. Хотя есть вариант через заражение мобильника. Заражение iOS-устройств маловероятно, а вот Android и Windows phone гораздо легче подсадить на трояна.
Если касаясь хакерства,то надо делать защищенней клиент,а не как не городухи.Зато сейчас дыр еще больше стало.
Не у всех есть такая возможность что бы купить устройства на android или ios(даже через месяц).А Windows phone не за чем и обсуждать так как нанего стима и нету.На вирус можно подсодить как android так ios не че не спасет.
у меня обычная нокия 2010 года отлиные новости блять ... прощай дота маркет ... ((((((((((
Аналогично....
Установи андроид симулятор на комп и будет тебе счастье. Сам так сделал.
А эмулятор bluestacks поставить? не?
"Проблему можно было бы решить, просто избавившись от системы обмена предметами". Воу, Valve, полегче)) Бросьте вы эти дурные мысли))
У меня написанно в настройках стим измененное время и код постоянно меняющийся полоска заканчивается , код меняется
у всех так!?
Это и есть защита.
Тебе не приходит письмо с кодом, тебе нужно ввести этот меняющийся код (даже если он уже поменялся например через 30 минут) и обмен будет совершён.
Если есть проблемы с телефоном (отсутствие Android/iPhone) то воспользуйтесь эмулятором Android на PC.
я установил всю систему подтверждений безопастноти продаж и обменов и говорю с восторгом я доволен !)
Единственное что наверно будет добавить. Это чтоб для того чтоб убрать Authenticator нужно было именно быть этим пользователем сделать тип 10 вопросов на которые ответишь только ты ибо если будет легкая отмена Authenticatora то толку от него будет 0. Ибо сталкивался с таким у близард когда все было подключенно для защиты, а акаунт все равно увели))
Почему норм трейдеры должны страдать из за даунов, которые ведутся на всякую х*йню?
Давно пора было так сделать. Еще тогда когда они 7 дней блока на вещи после покупки на торговой добавили. Неплохо былоб еслиб еще у тех, кто потключил моб аудентификацию, убрали б етот семидневный лок с вещей.=)
Осталось только повозращать аккауны,у меня 6 взломанных акков лежит без дела и уже без вещей ...
Задается вопрос,а что делать тем людям-у которых нету айфонов,андроида и виндовс мобаил?Вот у меня такая ситуация,нету андроида,айфона и т.д.-только телефон(самсунг дуэм-на платформе java).Бред,а не безопасность-которая не предусмотрена для всех игроков и для всех платформ.
я не стал читать, но если то что они введи никак не влияет на их СУПЕРСИСТЕМУГИФТОВ, то это бесполезно. Зачем мне все твои вещи, если я могу выбрать самые дорогие и отослать их на свой аккаунт? (8 гифтов в день на сколько мне известно). Самое интересное, что гифты в отличии от обменов вообще не прослеживаются у них, ты по факту даже доказать то что эти вещи были у тебя не можешь. изи рарки.
Теперь хакеры просто телефоны взламывают и получают полный доступ к акаунту
ВВЕЛИ ПРОСТО ГЕМОР СЕБЕ НА ШЕЮ
А подарки в доте отправлятся без проблем, так что инвентарь всё еще под угрозой.....
У Большинства в Инвентаре Шмотки Которые нельзя отправлять подарком.. то-есть просто Дроп. Ну а вот ценные и купленные это да.
Достаточно было просто ввести на обмен и ТП обязательный ввод платежного пароля,который обязан был существенно отличаться от пароля входа в аккаунт.Это как минимум убило бы брут и сильно понерфило фиш. А они тут велосипед выдумывают своими нововведениями.
у моего друга тоже украли поддержка молчит и что делать теперь непонятно
Я все понимаю, но зачем делать подтверждения обменов обязательными? Я очень часто играю на сайтах рулетках и подтверждать каждый раз обмен надоело! Почему нельзы было оставить все как и написанно, что если вы отключили подтверждения вам не вернут вещи? Думаю таким как я не сложно создать аккаунт для игры на сайтах и отключить подтверждения, а все ценные вещи переносить на основной аккаунт где они включены!
Это все очень круто, но тем людям, которые не пользуются телефонами, немножко тяжко. Создала новый акк после полугода пассивности в доте, кинула с основы на новый акк курьерчика и голову со стаффом на Цмку, а тут бац! Три дня ждать. Неужели придется обзавестись сим-картой. >_> Но безопасность превыше всего, потерпим. Пис.
лучше бы реборн доделали сплошные ерроры, баги,анимации персонажей и прочее.... я понимаю, что надо взломщиков останавливать, но это перебор. ОПЯТЬ ЖЕ ПОВТОРЮСЬ ВМЕСТО ВСЕЙ ЭТОЙ ХУЙ"И вы бы лучше взяли да ивент замутили и баги пофиксили, а не беспокоились о своей снегоуборочной машине по срубанию бабок.
мда. теперь они будут ломать смартфоны. интересно - если скрыть инвентарь он будет обнаруживаться в поиске у хакеров когда они акк по шмоту ищут
как по мне вале пошли не тем путем, ну то есть то что они обновил защиту это конечно не плохо, но лучше они просто отменили вообще техподдержку по украденным вещам и аккаунтам, ведь это проблема в пользователях, что они что-то скачали, или провели обмен не проверяя злоумышленнка или еще в чем-то нанубили, и тогда не пришлось бы копировать дублекаты украденных вещей, не было бы дампинга цен на маркете, люди бы учились на своих ошибках более досконально, придумывали пароли по сложнее, не качали всякой херни на комп, проверяли бы трейдеров и тому подобное и тогда со всей этой котовасии не пришлось бы так мудрить)
я торгую уже больше 3 лет, и еще не разу не был кинут, просто мозги включены
+
Теперь сосите хуй! Тупые хакеры.
Мальчик, ты чего тут кричишь? Иди уроки лучше делай. Да будет тебе известно, что "тупые хакеры" это элита среди программистов, это настоящие виртуозы обладающие огромным количеством технических знаний, это люди с выдающимися способностями и неординарным мышлением. Из-за этих "тупых хакеров" крупные компании ежегодно терпят огромные финансовые убытки, а обычные пользователи страдают и вынуждены устанавливать кучу софта что бы защитить свою информацию, банковские сбережения и виртуальные ценности(которые имеют вполне реальную стоимость).
Вообщем нормас всё
уже есть обходы мобильной авторизации) так что всё насмарку
Ты так пишешь, словно в культ возвел. Это люди, которые воруют бабки (и какие бы гении ни были - их это не оправдывает) для своих нужд. Воруют, не зарабатывают...