为什么 Steam 对安全性如此执着?

信息安全 软件
2021-09-02 01:33:29

Steam应用程序尝试如此安全有什么特别的原因吗?这似乎迫使您采取比大多数银行更多的安全措施(双因素身份验证、确认所有交易的电子邮件等)。

这是因为 Steam 软件存在一些相关的固有安全风险,还是仅仅因为他们想避免人们抱怨他们的帐户被黑客入侵?

Steam 是否有任何理由试图比大多数银行更安全?

4个回答

Steam 有大约 1 亿用户(随机链接说他们在大约 2 年前有 7500 万)。如果他们平均每年花费 10 美元,我们说的是每年 1,000,000,000 美元——我会说这是一个保守的估计(随机链接显示他们在 2010 年的收入为 10 亿美元)。那是小银行处理的同一种钱

然后几乎可以肯定有大量的低技术攻击者很多对合法性还没有正确理解的孩子都在使用 Steam,因此至少他们中的一些人会试图窃取另一个闻起来很有趣的孩子的帐户。需要明确的是:1亿中的“一些”是“很多”。这些攻击者通常住在同一个城镇,甚至可能看到其他孩子之前输入密码,这破坏了一些基于 IP 范围和密码的传统安全措施。被盗帐户会产生客户支持成本。被盗帐户的广泛报道造成了负面新闻,从而破坏了信任。对于数字市场,信任就是金钱。

Valve 还与大量合作伙伴合作。这些合作伙伴可能会采取恶意行为并试图破坏/滥用计费流程,这将直接损害 Steam 的声誉并因此损失 Valve 一些大笔资金,除非发现滥用行为并迅速处理。

编辑:

[...] 现在有足够多的资金在系统中流动,以至于窃取虚拟 Steam 商品已成为熟练黑客的真正业务 [...] 我们每个月看到大约 77,000 个帐户被劫持和掠夺。- 2015 年 12 月 9 日http://store.steampowered.com/news/19618/

所以除了大量的低技术攻击者之外,还有大量的高科技攻击者。

我认为这是可以理解的,尤其是为什么他们觉得有必要对用户强制采取安全措施:

  • Steam 帐户可能是非常宝贵的资产,许多 Steam 库很容易花费数百甚至数千来更换
  • 人们通常不会像对待其他账户那样谨慎对待他们的 Steam 账户,例如电子邮件或银行账户
  • 一旦被盗,就很难确定合法所有者。与金融机构不同,他们不能要求用户将 ID 带到分支机构。
  • 许多孩子使用 Steam。属于儿童的信息应该得到更高级别的保护
  • 不一定相信使用 Steam 的儿童具有安全意识。他们可能会分享他们的密码等。
  • 帐户被盗会给 Steam 分发模式留下非常负面的印象。许多人会责怪 Steam 和他们试图支持的分发模式,即使用户完全是罪魁祸首。
  • 被盗的 Steam 帐户有一个巨大的市场,使用网络钓鱼等简单的方法很容易盗取一个

真正的原因是欺诈。一个典型的骗局是这样的:

  1. 诈骗者使用被盗的信用卡或被盗帐户从 Steam 商店购买游戏,或从Steam 市场购买物品。许多 CS:GO、TF2 和 Dota 2 物品价值 100 美元甚至 1000 美元,所以这些不是我们所说的一分钱骗局。
  2. 然后,诈骗者使用tf2outpost.comsteamtrades.com等网站将商品以略低于市场价值的价格出售给毫无戒心的用户如果被盗帐户在该网站上具有很高的声誉,就很容易说服毫无戒心的用户使用 Paypal 付款。
  3. 几天或几周后,信用卡/帐户的真正所有者意识到他们的凭证已被盗并发出退款。

现在,原本会流向 Valve 的钱反而进入了骗子的口袋。这也是在 Steam 市场上购买的物品现在 7 天(游戏为 30 天)不可交易的原因。

Valve 是私有企业,不公开发布其财务报表,但类似的大公司,如索尼和微软,每年都会因此类信用卡欺诈而损失数百万美元。

其他答案中未提及的另一件事是 Valve 作为公司的结构及其对可扩展解决方案的理念的影响。

大多数 Valve 员工(如果不是全部)都受雇于 Valve 的文化,在这种文化中,每个人都致力于自己选择的项目,特别是如果他们认为这是他们可以为公司做出的最有价值的贡献。鉴于这种文化,出于可以理解的原因,Valve 很少有员工对客户服务/投诉处理感兴趣。

此外,Valve 将社区驱动/游戏化解决方案视为使功能可扩展的主要方式。另请参阅:Steam 标签、评论等。

由于这些原因,以及由于 TF2 和 CS:GO 项目在现实世界中的巨大价值,Steam 遭受了一系列帐户盗窃,Valve 自然地选择了双因素身份验证作为一种用户驱动的减少数量的方式他们必须处理的令人麻木的帐户盗窃案件。他们通过将社区徽章提升到一个新的水平并将双因素身份验证作为一项活动来进一步采用游戏化的双因素身份验证,为双因素身份验证用户在 Steam 市场上提供限时折扣等。

总而言之,Steam 坚持安全性的另一个原因是让软件工程师能够自由地做更多引人入胜的工作。

2015 年12 月 10 日更新: 正如 Valve 刚刚解释的那样

自 Steam 开始以来,帐户盗窃就一直存在,但随着 Steam 交易的推出,问题增加了 20 倍,成为我们用户的第一大投诉......

我们每个月看到大约 77,000 个帐户被劫持和掠夺。这些不是新用户或幼稚用户;这些是专业的 CS:GO 玩家、reddit 贡献者、物品交易者等。

每月恢复 77,000 个帐户加起来工程师可以花在其他事情上的大量时间。

其它你可能感兴趣的问题
上一篇保护自己安全的防病毒替代品 下一篇为什么打开可疑电子邮件很危险?