Valve, bildiği güvenlik açığı hakkında önlem almıyor

Valve’in CS:GO’da hilecilere karşı yeterli önlemi almaması ve konuyla ilgilenmemesine ilişkin sürekli şikayetler devam ederken firmanın çok daha büyük boyutlu bir sorunu da göz ardı ettiği ortaya çıktı. Ortaya çıkan bilgilere göre CS:GO, hackerların oyuncuların sahip olduğu tüm skinleri görebilmesini sağlayan bir güvenlik açığına sahip. Bu konu geliştiriciler tarafından biliniyor olmasına rağmen hiçbir şey yapmadığı gibi oyuncuları bu konu hakkında uyarmıyor da.

Bu durumu ortaya çıkaransa kâr amacı gütmeyen bir topluluk olan The Secret Club oldu. Güvenlik açığının nasıl çalıştığını örneklerle göstererek bu güvenlik açığının skin alım satımlarında sebep olabileceği sorunlara dikkat çekti. Bu güvenlik açığına göre kötü amaçlı kullanıcıların skin takasında karşıdaki oyuncunun tüm skinlerini ortaya çıkarmasına sebep olabilecek zararlı bir kod kullanmasına olanak sağlıyor. Ancak bu kodla ortaya çıkan tek şey skinler değil. Bununla birlikte oyuncuların hesap bilgileri, şifreleri ve hatta hard disklerindeki verilere kadar hassas bilgilere ulaşabiliyorlar.

Two years ago, secret club member @floesen_ reported a remote code execution flaw affecting all source engine games. It can be triggered through a Steam invite. This has yet to be patched, and Valve is preventing us from publicly disclosing it. pic.twitter.com/0FWRvEVuUX

— secret club (@the_secret_club) April 10, 2021

Bu güvenlik açığını iki sene bularak Valve’e bildirdiklerini söyleyen anonim grup, geliştiricilerin bu iki sene içinde konuya ilişkin hiçbir şey yapmadığını söyledi.

Third times a charm; @the_secret_club member mev showcases their remote code execution 0-day for CS:GO. This has been reported to Valve 5 months ago with no response from Valve. pic.twitter.com/Jw8icRPh3j

— secret club (@the_secret_club) April 10, 2021

Sadece bir davet göndermekle kullanılabilen bu açığın bilinmesine rağmen geliştiriciler tarafından düzeltilmemesi ise dikkat çekici.