Вчера на 4cnah были опубликованы исходные коды сразу двух игр компании Valve — CS:GO и Team Fortress 2, и оттуда они моментально распространились по всему интернету (Twitter, Reddit, торрент-трекеры, игровые форумы).
В игровом сообществе из-за этого поднялась нешуточная паника, так как пользователи немедленно предрекли появление RCE-эксплоитов и множества читеров. Дошло до того, что на игровых форумах, в социальных сетях и на Reddit стали появляться призывы ни в коем случае не запускать TF2 и CS:GO, так как якобы RCE-эксплоит уже существует, и даже простое подключение к игровому серверу может полностью скомпрометировать компьютер игрока. К примеру, такие обсуждения можно найти на /r/counterstrike и /r/tf2.
Do not launch TF2 under any circumstances, Remote Code Execution exploits have already been found which means you can receive a virus from simply joining a server with a cheater. This is not a drill.
— Heavy Update Out Yet (@HeavyUpdateOut) April 22, 2020
Интересно, что никаких подтвержденных данных о существовании каких-либо эксплоитов пока попросту нет. Про «RCE-эксплоит», о котором предупреждают друг друга игроки, ничего не знают ни отраслевые СМИ, ни ИБ-специалисты. Компания Valve, в свою очередь, уверяет, что никакой угрозы нет. Так, вице-президент Valve по маркетингу Дуг Ломбарди прокомментировал ситуацию изданию ZDNet:
«Мы не обнаружили никаких причин для того, чтобы игроки волновались или избегали текущих билдов [наших игр]. Для максимальной безопасности мы, как обычно, рекомендуем играть на официальных серверах».
Также Valve уверяет, что расследует случившееся и просит сообщество поделиться информацией о том, кто может стоять за этой утечкой, используя специальную станицу.
В компании также рассказали журналистам, что утекшие исходные коды были датированы концом 2017 года. Valve сама предоставляла их доверенным разработчикам игр и модов. Более того, Ломбарди говорит, что впервые эти исходники утекли в сеть еще в 2018 году, и Valve было известно об этом, просто та первоначальная утечка осталась практически никем незамеченной.
Но сообщество уже начало искать виноватых самостоятельно и поспешило возложить вину за инцидент на автора блога ValveNewsNetwork и известного инсайдера Тайлера Маквикера. Дело в том, что накануне утечки тот сообщал, что скоро опубликует материал о развитии Team Fortress 2.
Теперь Маквикер вынужден оправдываться. Он уже провел в Twitch стрим, посвященный произошедшей утечке, а также повторил в социальных сетях, что ему известно о том, кто именно «слил» исходные коды, о чем он намерен уведомить юридический отдел Valve.
Стоит сказать, что панические настроения игроков все же нельзя назвать вовсе необоснованными. Дело в том, что утечки исходных кодов действительно существенно облегчают «работу» злоумышленникам и читерам. Хотя в настоящее время никаких эксплоитов, похоже, не существует, они могут появиться в ближайшие недели или месяцы.
Хуже того, подобные прецеденты уже имели место. К примеру, в прошлом году эксперты «Доктор Веб» рассказывали, как хакеры эксплуатируют уязвимости клиента Counter-Strike 1.6. По данным аналитиков, тогда из официального клиента Steam было доступно порядка 5000 серверов CS 1.6, и 1951 из них был создан трояном Belonard (то есть 39% всех игровых серверов). Подключение к таким серверам действительно было опасно и заканчивалось заражением Belonard.
Остается надеяться, что разработчики Valve тоже понимают, насколько опасными могут быть возможные последствия утечки исходных кодов, и соответствующим образом обновят (или уже обновили) обе пострадавшие игры, ведь, несмотря на возраст, они по-прежнему пользуются большой популярностью у игроков и активно поддерживаются.
pancho
23.04.2020 в 11:59
panic mode on!!!
1601
23.04.2020 в 13:04
держите magnet:?xt=urn:btih:21DDA6847DDE983F2F8063739249D2D1D09A5DDA&dn=April%2022nd%202020%2c%20random%20leaked%20shit.rar&tr=udp%3a%2f%2ftracker.openbittorrent.com%3a1337%2fannounce&tr=udp%3a%2f%2ftracker.opentrackr.org%3a1337%2fannounce
Laglag
24.04.2020 в 03:11
АФигено спасибо
Че халявные сервера будите запускать?
Asylum
24.04.2020 в 18:53
Таки частные сервера и не были запрещены
Maxim
27.04.2020 в 12:09
Название отличное — «random leaked shit» %)
Yarik Tanki
26.04.2020 в 18:24
Теперь остаётся взять код и написать для этих игрух valve анти-школота.