Valve ha un problema di sicurezza, e non è più qualcosa che può ignorare. La recente scoperta che il gioco Chemia, disponibile tramite il programma Early Access di Steam, stava segretamente diffondendo malware è più di un semplice campanello d'allarme. È una sirena lampeggiante che ci avverte che il sistema di Steam è rotto - e gli utenti vengono lasciati esposti.
Non è solo che Chemia avesse malware. È la facilità con cui è successo, la discrezione con cui Valve ha rimosso il gioco e la totale assenza dell'azienda nell'offrire qualsiasi spiegazione o aiuto a coloro che lo avevano scaricato. Se Valve vuole continuare a definire Steam una piattaforma sicura e affidabile, deve iniziare ad agire di conseguenza. In questo momento, sta fallendo.
Valve deve risolvere i problemi di sicurezza di Steam
L'Early Access di Steam è una falla di sicurezza
Siamo schietti: la sezione Early Access di Steam è una vulnerabilità. Valve la usa come un modo per permettere agli sviluppatori indie di testare giochi non finiti in libertà, il che in teoria suona bene. Ma in pratica, è diventato un punto cieco - che gli hacker stanno già sfruttando.
Chemia è il terzo gioco in Early Access quest'anno scoperto a distribuire malware. Prima di esso, c'erano Sniper: Phantom’s Resolution e PirateFi. Tutti sono sfuggiti al processo di Steam. Tutti sono stati ammessi sulla piattaforma senza essere scansionati correttamente. Non è un incidente, è un pattern.
Valve potrebbe sostenere che i giochi in Early Access sono pensati per essere "buyer beware", ma questa non è una difesa quando è coinvolto il malware. Gli utenti non stavano solo scaricando giochi buggati. Stavano inconsapevolmente dando agli hacker accesso ai loro sistemi, incluse informazioni sensibili come le chiavi dei wallet crypto e le password del browser. Questo supera un limite - uno che Valve avrebbe dovuto proteggere.
Valve deve risolvere i problemi di sicurezza di Steam
Il silenzio di Valve è irresponsabile
Ancora peggio della violazione stessa è il modo in cui Valve ha risposto. O meglio, come non ha risposto. Non c'è stata alcuna dichiarazione pubblica, nessun avviso ai giocatori, nessun tentativo di aiutare coloro che avevano scaricato Chemia prima che fosse rimosso. La pagina del negozio del gioco ora reindirizza semplicemente alla homepage di Steam, come se nulla fosse successo.
Questa mancanza di trasparenza è inaccettabile. Quando si verifica una violazione come questa, la responsabilità minima di qualsiasi piattaforma è informare i suoi utenti. Invece, Valve ha silenziosamente insabbiato la questione. Sembra un controllo dei danni, non una prevenzione dei danni.
Il rifiuto dell'azienda di riconoscere ciò che è accaduto invia il messaggio sbagliato: che le violazioni della sicurezza possono essere gestite in silenzio e che gli utenti non hanno bisogno di sapere quando i loro dati sono a rischio.
Valve deve risolvere i problemi di sicurezza di Steam
La minaccia va oltre Steam
Ciò che è più preoccupante è chi c'era dietro questo attacco. Il malware è stato ricondotto a EncryptHub, un gruppo di hacker noto anche come Larva-208, che è stato collegato a precedenti campagne di phishing globali. Non si trattava di un virus casuale accidentalmente incluso in un gioco. Era un attacco coordinato progettato per sfruttare la fiducia nella piattaforma Steam.
Il malware non si è limitato a infettare i computer. Ha estratto istruzioni dai canali Telegram, ha scaricato file più dannosi da domini sospetti e ha funzionato silenziosamente in background per evitare il rilevamento. E sì, ha specificamente preso di mira i dati dei wallet crypto. Anche se Chemia non era un gioco web3, il suo malware aveva chiaramente in mente gli utenti web3.
Ciò significa che l'incrocio tra gaming e crypto è ora ufficialmente nel mirino degli hacker. Chiunque abbia asset digitali dovrebbe pensarci due volte prima di scaricare nuovi giochi, anche da piattaforme affidabili.
Valve deve risolvere i problemi di sicurezza di Steam
Steam non può continuare a scaricare questo sugli utenti
Gli esperti di sicurezza stanno ora dicendo alle persone di scansionare i loro sistemi e controllare i segni di infezione. E sebbene questo sia un buon consiglio, evidenzia anche il problema più grande: l'onere viene spostato sugli utenti che non avevano motivo di sospettare che qualcosa non andasse in primo luogo.
Siamo chiari: non è compito del gamer medio controllare i file di gioco per il malware. È compito di Valve. Ma in questo momento, Steam non solo non riesce a prevenire questi attacchi, ma si rifiuta di ammetterli in seguito. Questo è un enorme fallimento di leadership e responsabilità. Questo approccio è insostenibile. Più Valve tratta la sicurezza come un problema di qualcun altro, più invita gli hacker ad approfittarne. E lo faranno, perché lo stanno già facendo.
Valve ha il potere di risolvere questo problema
Valve non è una piccola startup che lotta con risorse limitate. Gestisce una delle più grandi piattaforme di gaming digitale al mondo. Ha i soldi, il talento e l'infrastruttura per implementare salvaguardie più forti, sistemi di rilevamento migliori e un protocollo chiaro per affrontare incidenti come questo.
Non ci sono scuse per consentire giochi con malware sulla piattaforma nel 2025. Non ci sono scuse per non informare gli utenti. E non ci sono assolutamente scuse per far finta che nulla sia successo.
Valve deve ripulire il suo programma Early Access. Deve introdurre la scansione malware in tempo reale, controllare i caricamenti degli sviluppatori e imporre regole più severe per l'invio di aggiornamenti ai giochi live. Deve anche iniziare a essere onesta con la sua community quando le cose vanno male.
Non si tratta di perfezione. Si tratta di assumersi la responsabilità.
