Perché Steam è così insistente per la sicurezza?

Steam ha circa 100 milioni di utenti ( collegamento casuale che indicava 75 milioni di quasi 2 anni fa ). Se spendono in media $ 10 all'anno, stiamo parlando di $ 1.000.000.000 all'anno - e direi che è una stima prudente ( collegamento casuale che afferma di avere 1 miliardo di entrate nel 2010 ). È lo stesso tipo di denaro che le piccole banche trattano .

Poi c'è quasi certamente un gran numero di attaccanti a bassa tecnologia . Steam è usato da molti bambini che non hanno ancora una conoscenza corretta della legalità, quindi almeno alcuni di loro proveranno a rubare l'account di quell'altro bambino che ha un odore strano. Per essere chiari: "alcuni" su 100 milioni sono "lotti". Questi aggressori vivono spesso nella stessa città e forse hanno anche visto l'altro bambino digitare la password in precedenza, il che infrange alcune sicurezze tradizionali basate su intervallo IP e password. Gli account rubati creano costi di assistenza clienti. Rapporti diffusi sui conti rubati creano una cattiva stampa, che distrugge la fiducia. Per un mercato digitale, la fiducia è denaro.

Valve funziona anche con un numero enorme di partner. Questi partner possono agire maliziosamente e tentare di rompere / abusare del processo di fatturazione , il che danneggerà direttamente la reputazione di Steam e quindi perderà Valve dei soldi seri, a meno che l'abuso non venga rilevato e gestito rapidamente.

EDIT:

[...] enough money now moves around the system that stealing virtual Steam goods has become a real business for skilled hackers [...] We see around 77,000 accounts hijacked and pillaged each month. - 9 Dec 2015 http://store.steampowered.com/news/19618/

Quindi, oltre a un gran numero di attaccanti a bassa tecnologia, c'è anche un gran numero di attaccanti di alta tecnologia.

Penso che sia molto comprensibile, soprattutto perché sentono la necessità di imporre misure di sicurezza all'utente:

• Un account Steam può essere una risorsa molto preziosa, molte librerie di Steam potrebbero costare centinaia, se non migliaia, da sostituire
• Le persone spesso non trattano il loro account Steam con la stessa cura degli altri account, ad esempio email o un conto bancario
• Una volta rubato è molto difficile determinare il legittimo proprietario. A differenza di un istituto finanziario, non possono chiedere a un utente di portare l'ID a un ramo.
• Molti bambini usano Steam. Le informazioni appartenenti ai bambini meritano un livello superiore di protezione
• I bambini che utilizzano Steam non possono essere considerati attendibili per la sicurezza. Possono condividere le loro password, ecc.
• Il furto dell'account potrebbe creare un'impressione molto negativa del modello di distribuzione di Steam. Molte persone dovrebbero incolpare Steam e il modello di distribuzione che stanno cercando di difendere, anche se l'utente è stato interamente incolpato.
• Esiste un enorme mercato per account di Steam rubati ed è abbastanza facile rubarne uno usando metodi non sofisticati come il phishing

La vera ragione è la frode. Una tipica truffa si presenta così:

1. Il truffatore acquista un gioco dallo store di Steam o un elemento al Steam Market utilizzando una carta di credito rubata o un account rubato. Molti articoli CS: GO, TF2 e Dota 2 valgono $ 100 o anche $ 1000 di dollari, quindi non si tratta di frodi monetarie di cui stiamo parlando.
2. Il truffatore quindi vende l'oggetto a un utente ignaro per un valore leggermente inferiore al valore di mercato utilizzando un sito come tf2outpost.com o steamtrades.com . Se l'account rubato ha una reputazione elevata su quel sito, sarà facile convincere l'utente ignaro a pagare con Paypal.
3. Diversi giorni o settimane dopo, il vero proprietario della carta di credito / conto si rende conto che i loro indici di valore sono stati rubati e emette un chargeback.

Ora i soldi che altrimenti sarebbero andati a Valve vanno invece nella tasca dello scammer. Questo è anche il motivo per cui gli oggetti acquistati sul Mercato di Steam non sono più disponibili per 7 giorni (30 giorni per i giochi).

Valve è di proprietà privata e non pubblica pubblicamente i propri rendiconti finanziari, ma aziende analoghe come Sony e Microsoft perdono milioni di dollari all'anno per questo genere di frodi con carte di credito.

Un'altra cosa che non è menzionata nelle altre risposte è l'impatto della struttura di Valve come azienda e le loro filosofie per soluzioni scalabili.

La maggior parte dei dipendenti di Valve (se non tutti) vengono assunti nella cultura di Valve in cui ogni persona lavora al progetto di sua scelta, soprattutto se ritengono che sia il contributo più prezioso che possono apportare all'azienda. Per motivi comprensibili data questa cultura, pochi dipendenti di Valve si interessano al servizio clienti / gestione dei reclami.

Inoltre, Valve considera le soluzioni guidate dalla community / di gioco come un mezzo principale per rendere scalabili le funzionalità. Vedi anche: tag Steam, recensioni, ecc.

Per questi motivi e poiché Steam aveva subito un'eruzione di furti di account a causa dell'elevato valore reale degli elementi TF2 e CS: GO, Valve si è naturalmente accontentata dell'autenticazione a due fattori come un modo guidato dall'utente di ridurre il numero di casi di furto dell'account che hanno dovuto sopprimere. Approfittano ulteriormente dell'adozione di autenticazione a due fattori creando un nuovo livello del badge della comunità e aggiungendo l'autenticazione a due fattori come una delle attività, offrendo uno sconto limitato sul mercato di Steam per gli utenti di autenticazione a due fattori, ecc.

Per riassumere, un'altra ragione per cui Steam è insistente in fatto di sicurezza è di liberare i tecnici del software per svolgere un lavoro più coinvolgente.

Aggiornamento 12/10/15: Come appena spiegato Valve :

Account theft has been around since Steam began, but with the introduction of Steam Trading, the problem has increased twenty-fold as the number one complaint from our users...

We see around 77,000 accounts hijacked and pillaged each month. These are not new or naïve users; these are professional CS:GO players, reddit contributors, item traders, etc.

Il ripristino di 77.000 account al mese consente di risparmiare un sacco di tempo che gli ingegneri potrebbero spendere per altre cose.

A questo punto, alcune persone hanno migliaia di dollari di giochi nel loro account. Per sicurezza, gli account di Steam non sono esattamente liquidi e non puoi convertirli facilmente in contanti (anche se immagino che potresti riscattarli), ma la potenziale perdita è ancora lì.

Inoltre, molte persone hanno account di gioco collegati al loro account Steam, così che se controlli un account puoi controllare anche il loro account di gioco. Da qui puoi sottrarre molti oggetti di gioco, come armi e cappelli TF2, che possono poi essere venduti in un mercato sia per soldi veri, sia per soldi in-game che a loro volta possono essere convertiti in denaro reale attraverso un mercato grigio .

Naturalmente, alcune persone hanno anche soldi reali disponibili sul loro account, con funzionalità come Steam Wallet. Per non parlare delle informazioni della carta di credito che possono essere raccolte.

L'aggiunta al problema è che le persone amano lamentarsi del fatto che il loro account è stato violato, specialmente se sono stati bannati per aver imbrogliato ("un hacker / mio fratello / il cane l'ha fatto!"). Naturalmente ci sono molti hacker che cercano attivamente di prendere in carico anche gli account di Steam. Penso che questo sia il vero motivo della rigorosa sicurezza, dal momento che, ad esempio, un account Amazon è altrettanto "pericoloso" ma non ha la stessa sicurezza che lo protegge.

Inoltre, in caso di contrasto (come hai fatto tu) con le banche, tieni a mente due punti importanti:

• Steam non si preoccupa più di tanto di affrontare i problemi dei clienti - non offrono nemmeno una politica di restituzione se non obbligati per legge. Le banche tendono ad avere politiche di assistenza clienti molto più utili.
• Le banche sono protette da molte leggi e regolamenti ben stabiliti. Il tuo conto bancario è assicurato dal governo. Ci sono molte informazioni, come SSN, indirizzo e datore di lavoro richieste da una banca, quindi è molto più facile per loro verificare la tua identità e risolvere le controversie (crimini e tentativi di frode). Nel frattempo, Steam non gode di questo tipo di protezione da parte del governo, né dispone di tutte le risorse disponibili per indagare sui crimini. Se il tuo conto bancario fosse stato rubato, l'FBI sarebbe stato sopraffatto, il criminale sarebbe stato catturato e detenuto per molti decenni in prigione. Se il tuo account Steam è stato rubato, la polizia potrebbe anche produrre un sospetto che puoi portare in tribunale?

Come altre risposte menzionate, molte delle ragioni per le misure di sicurezza di Valve sono le frodi, il tuo account potrebbe avere centinaia o migliaia di dollari di giochi e oggetti commerciabili, le informazioni di pagamento sono collegate all'account e puoi essenzialmente utilizzare quell'account per acquistare altri giochi e oggetti commerciabili.

Ma un'altra ragione per cui tutti si sono dimenticati è che il tuo account Steam ti ha fatto accedere a più giochi rispetto a Steam. Gli sviluppatori di giochi possono utilizzare le API dell'account di Steam per utilizzarli come sistema di autorizzazione. Un po 'come quando apri CS: GO e hai già effettuato l'accesso fintanto che Steam ha effettuato l'accesso. Se hai una chiave che apre molti blocchi, dovresti assicurarti che la chiave sia difficile da ottenere e utilizzare da chiunque non autorizzato a utilizzare esso.

E come utente di Steam di 11 anni, ricordo i primi giorni in cui proteggere il tuo account era un incubo. Prima delle protezioni extra, dovevo recuperare il mio account quasi una volta all'anno. Alcuni amici circa mensile. Gli account di Steam sono un target di traffico elevato. Alla fine, questo non influisce solo sugli utenti Steam, ma anche su Valve. Immagino che abbiano perso un sacco di soldi solo correggendo e incorrendo nei costi dovuti a questi problemi.

Quindi, nel complesso, non penso che le loro pratiche di sicurezza siano il risultato di un singolo motivo.

Hai una diversa definizione di sicurezza di me,

Steam non è nemmeno protetto da remoto. Ogni app installata ottiene pieno accesso all'intero sistema. Non hai idea che nessun gioco stia installando un root kit o un keylogger. Non hai idea di quali dati stanno leggendo dal tuo sistema e caricandoli sui loro server. Per quanto tu sappia quando hai installato il gioco ABC, ha caricato l'intero contenuto della tua cartella utente e della tua cartella di download, rubato la tua password Steam, poi loggato e venduto i dati della tua carta di credito.

Se Steam fosse veramente serio riguardo alla sicurezza, implementerebbe una sandbox simile a Chrome o all'app store di Windows o al Mac App store o Android o iOS in modo che i giochi distribuiti non possano accedere al tuo sistema.

La sicurezza che hai citato ha a che fare solo con il login per Steam stesso da parte di persone che non sono sul tuo sistema. Il che, sebbene tutte le loro misure sembrino rendere le cose più sicure, il fatto che qualsiasi gioco installato con il vapore possa rubare quelle informazioni lo rende in realtà piuttosto insicuro, specialmente ora che spediscono così tanti giochi. Apple (App Store iOS o Mac), Microsoft (Windows App Store) consente solo le app che vivono nelle loro sandbox per impedire questo tipo di cose. Android e iOS obbligano tutte le app a vivere in sandbox. Steam non ha sandbox

Una cosa che le altre risposte non menzionano è come la frode colpisce le banche rispetto al vapore. Se un conto in banca viene truffato restituiscono i soldi e questo è tutto. Potrebbero perdere clienti, forse.

On, d'altra parte, se un venditore (vapore) in questo caso viene truffato troppo spesso, o ha troppi storni di addebito contro di loro, le società di carte di credito le inseriranno nella lista nera. Se il vapore non può più accettare alcuna carta di credito, è fatto come una società.

Non sto dicendo che questo è al 100% perché, ma dovrebbe essere un buon indicatore di quanto sia importante la loro sicurezza. Ho avuto il mio account email principale trapelato in quella massa gmail hack qualche anno fa. Le prime cose che gli "hacker" hanno tentato di perseguire sono stati i miei account Steam e Netflix. Ho anche avuto tentativi di accesso falliti per quasi tutte le altre reti di gioco per cui mi ero mai iscritto. Se non avessero una tale sicurezza, qualcuno avrebbe potuto facilmente entrare nel mio account e regalarsi migliaia di dollari in giochi. La mia banca non mi avrebbe avvertito perché sono un collezionista di giochi quindi sarebbe stato rilevato come al solito spendendo più che probabile. Sono contento che mantengano bloccato quel cucciolo, essendo stato vittima di un furto di identità in molteplici forme. Ora mi sento a mio agio solo con siti che richiedono l'autenticazione a 2 fattori.

ps. Fino ad oggi è ancora possibile trovare le mie credenziali di Gmail su Internet .. sono state distribuite ovunque. È stato un campanello d'allarme, ho dovuto cambiare la mia password per così tanti siti è stato disgustoso ma ora sono molto più attento e uso password uniche su quasi tutti i siti.