Xakep #305. Многошаговые SQL-инъекции
Компания Valve устроила масштабную ловушку для читеров: Valve разработала специальный патч, добавив в игровой клиент раздел данных, который не должен считываться во время обычного игрового процесса. Игроки, использовавшие читы, провоцировали срабатывание этой ловушки и отправились в бан.
Разработчики Valve объясняют, что обращаться к специально созданному в игровом клиенте разделу данных могли только сторонние читерские инструменты и известные компании экплоиты, нацеленные на поиск внутренних данных, которые должны быть «невидимы» для игроков.
В итог компании оставалось лишь следить за теми учетными записями, которые попытались прочитать «секретную» область.
«Каждая из заблокированных теперь учетных записей считывала эту “секретную”» область в клиенте, и мы абсолютно уверены, что каждый бан был заслуженным», — пишут разработчики.
После того, как игроки Dota 2 получили этот обязательный патч-ловушку, выяснилось, что более 40 000 учетных записей использовали читерское ПО, которое считывало «секретную» область в клиенте. В итоге эта волна банов стала одной из самых массовых в истории, а в компании подчеркнули, что уже закрыли брешь, которую эксплуатировали читеры, и которая позволяла получить незаконный доступ к данным.
Valve сообщает, что решила предать ситуацию огласке, чтобы донести до всех игроков, включая профессионалов, принимающих участие в официальных мероприятиях, что использование ПО для чтения данных из клиента Dota во время игры рано или поздно приведет к перманентной блокировке учетной записи.