¿Por qué Steam es tan insistente en la seguridad?

Steam tiene aproximadamente 100 millones de usuarios ( enlace aleatorio que dice que tenían 75 millones hace casi 2 años ). Si gastan un promedio de $ 10 por año, estamos hablando de $ 1,000,000,000 por año, y diría que es una estimación conservadora ( que dice que tenía 1 billón en ingresos en 2010 ). Ese es el mismo tipo de dinero con el que tratan los bancos .

Entonces es casi seguro que hay un gran número de atacantes de baja tecnología . Steam es utilizado por muchos niños que aún no tienen un conocimiento adecuado de la legalidad, por lo que al menos algunos de ellos intentarán robarle la cuenta a ese otro niño que huele raro. Para ser claros: "algunos" de 100 millones son "lotes". Estos atacantes a menudo viven en la misma ciudad y tal vez incluso vieron al otro niño tecleando la contraseña antes, lo que rompe algunos seguros tradicionales basados en el rango de IP y las contraseñas. Las cuentas robadas crean costos de atención al cliente. Los informes generalizados de cuentas robadas crean mala prensa, lo que destruye la confianza. Para un mercado digital, la confianza es dinero.

La válvula también funciona con un gran número de socios. Estos socios pueden actuar maliciosamente e intentar romper / abusar del proceso de facturación , lo que perjudicará directamente la reputación de Steam y, por lo tanto, perderá a Valve un poco de dinero serio, a menos que el abuso se detecte y resuelva rápidamente.

EDITAR:

  

[...] suficiente dinero ahora se mueve alrededor del sistema para que robar bienes de Steam virtuales se haya convertido en un verdadero negocio para piratas informáticos [...] hábiles. Vemos alrededor de 77,000 cuentas secuestradas y saqueadas cada mes. - 9 de diciembre de 2015 enlace

Así que además de una gran cantidad de atacantes de baja tecnología, también hay una gran cantidad de atacantes de alta tecnología.

Creo que es muy comprensible, especialmente porque sienten la necesidad de imponer medidas de seguridad al usuario:

• Una cuenta de Steam puede ser un activo muy valioso, muchas bibliotecas de Steam costarían fácilmente cientos, si no miles de reemplazar
• Las personas a menudo no tratan su cuenta de Steam tan cuidadosamente como otras cuentas, por ejemplo, correo electrónico o una cuenta bancaria
• Una vez robado es muy difícil determinar el propietario legítimo. A diferencia de una institución financiera, no pueden pedirle a un usuario que lleve la identificación a una sucursal.
• Muchos niños usan Steam. La información que pertenece a los niños merece un mayor nivel de protección
• No se puede confiar necesariamente en que los niños que usan Steam estén conscientes de la seguridad. Pueden compartir sus contraseñas, etc.
• El robo de su cuenta crearía una impresión muy negativa del modelo de distribución de Steam. Muchas personas culparían a Steam y al modelo de distribución que intentan defender, incluso si el usuario fuera el único culpable.
• Hay un gran mercado para las cuentas de Steam robadas, y es bastante fácil robar una usando métodos no sofisticados como el phishing

La verdadera razón es el fraude. Una estafa típica se ve así:

1. El estafador compra un juego en la tienda Steam o un artículo fuera de la Steam Market con una tarjeta de crédito robada o una cuenta robada. Muchos artículos de CS: GO, TF2 y Dota 2 tienen un valor de $ 100 o incluso $ 1000 de dólares, por lo que no estamos hablando de estafas de un centavo.
2. El estafador luego vende el artículo a un usuario desprevenido por un valor ligeramente inferior al de mercado utilizando un sitio como tf2outpost.com o steamtrades.com . Si la cuenta robada tiene una gran reputación en ese sitio, será fácil convencer al usuario confiado para que pague con Paypal.
3. Varios días o semanas más tarde, el verdadero propietario de la tarjeta de crédito / cuenta se da cuenta de que sus críticas han sido robadas y emite una devolución de cargo.

Ahora el dinero que de otro modo habría ido a Valve irá al bolsillo del estafador. Esta es también la razón por la que los artículos que se compran en Steam Market ahora no son negociables durante 7 días (30 días para juegos).

Valve es de propiedad privada y no publica públicamente sus estados financieros, pero, de manera similar, grandes compañías como Sony y Microsoft pierden millones al año por este tipo de fraude con tarjetas de crédito.

Otra cosa que no se menciona en las otras respuestas es el impacto de la estructura de Valve como compañía y sus filosofías para soluciones escalables.

La mayoría de los empleados de Valve (si no todos) son contratados en la cultura de Valve, donde cada persona trabaja en el proyecto de su elección, especialmente si creen que es la contribución más valiosa que pueden hacer a la empresa. Por razones comprensibles dada esta cultura, pocos empleados de Valve se interesan en el servicio al cliente / manejo de quejas.

Además, Valve ve las soluciones impulsadas por la comunidad / basadas en juegos como una forma principal de hacer que las características sean escalables. Ver también: Etiquetas de Steam, reseñas, etc.

Por estas razones y porque Steam sufrió una serie de robos de cuentas debido al gran valor en el mundo real de los elementos de TF2 y CS: GO, Valve naturalmente optó por la autenticación de dos factores como una forma impulsada por el usuario de reducir el número de casos de robo de cuentas que tenían que controlar. Además, fomentan la adopción de la autenticación de dos factores creando un nuevo nivel de la insignia de la comunidad y agregando la autenticación de dos factores como una de las actividades, otorgando un descuento de tiempo limitado en el mercado Steam para los usuarios de autenticación de dos factores, etc. / p>

Para resumir, otra razón por la que Steam insiste en la seguridad es liberar a los ingenieros de software para que hagan un trabajo más atractivo.

Actualización 12/10/15: Como Valve acaba de explicar :

  

El robo de cuenta ha existido desde que Steam comenzó, pero con la introducción de Steam Trading, el problema se ha multiplicado por veinte como la queja número uno de nuestros usuarios ...

     

Vemos alrededor de 77,000 cuentas secuestradas y saqueadas cada mes. Estos no son usuarios nuevos o ingenuos; estos son jugadores profesionales de CS: GO, reddit contribuidores, comerciantes de artículos, etc.

Restaurar 77,000 cuentas por mes se suma a una tonelada de tiempo que los ingenieros podrían dedicar a otras cosas.

En este punto, algunas personas tienen miles de dólares en juegos en su cuenta. Para estar seguro, las cuentas de Steam no son exactamente líquidas, y no puede convertirlas fácilmente en efectivo (aunque creo que podría rescatarlas), pero la pérdida potencial aún está allí.

Además de esto, muchas personas tienen cuentas de juegos vinculadas a su cuenta de Steam, de modo que si controlas una cuenta también puedes controlar su cuenta en el juego. Desde aquí, puede sacar muchos artículos del juego, como armas y sombreros TF2, que luego pueden venderse en un mercado por dinero real o por dinero del juego que a su vez se puede convertir en dinero real a través de un mercado gris. .

Por supuesto, algunas personas también tienen dinero real disponible para su cuenta, con características como Steam Wallet. Eso sin mencionar la información de la tarjeta de crédito que se puede obtener.

El problema se suma al hecho de que a la gente le encanta quejarse de que su cuenta fue pirateada, especialmente si se los prohibió por hacer trampa ("un pirata informático / mi hermano / el perro lo hizo"). Por supuesto, también hay muchos hackers que intentan hacerse cargo de las cuentas de Steam. Creo que esta es la verdadera razón de la seguridad estricta, ya que, por ejemplo, una cuenta de Amazon también es "peligrosa" pero no tiene tanta seguridad para protegerla.

También, al contrastar (como lo hiciste) con los bancos, ten en cuenta dos puntos importantes:

• A Steam no le importa tanto tratar con los problemas de los clientes, ni siquiera ofrecerán una política de devolución a menos que la ley lo obligue. Los bancos tienden a tener políticas de servicio al cliente mucho más útiles.
• Los bancos están protegidos por muchas leyes y regulaciones bien establecidas. Su cuenta bancaria está asegurada por el gobierno. Existe una gran cantidad de información, como el SSN, la dirección y el empleador que requiere un banco, por lo que es mucho más fácil para ellos verificar su identidad y resolver disputas (delitos e intentos de fraude). Mientras tanto, Steam no disfruta de este tipo de protección por parte del gobierno, ni tiene tantos recursos disponibles para investigar delitos. Si le robaran su cuenta bancaria, el FBI estaría fácilmente al margen, el criminal sería atrapado y muchas décadas en prisión. Si le robaron su cuenta de Steam, ¿la policía incluso produciría un sospechoso que pueda llevar ante el tribunal?

Como se mencionó en otras respuestas, muchas de las razones de las medidas de seguridad de Valve son el fraude, su cuenta puede tener cientos o miles de dólares en juegos y artículos comerciables, la información de pago está vinculada a la cuenta y, esencialmente, puede usar esa cuenta para comprar. Alguien más juegos y artículos comerciables.

Pero otra razón por la que todos pasaron por alto es que su cuenta de Steam le permite iniciar sesión en más juegos que Steam. Los desarrolladores de juegos pueden usar las API de la cuenta de Steam para usarlas como su sistema de autorización. Algo así como la forma en que abres CS: GO y ya has iniciado sesión mientras Steam esté conectado. Si tienes una clave que abre muchos bloqueos, debes asegurarte de que la clave sea difícil de obtener y de que la use cualquier persona no autorizada. eso.

Y como usuario de Steam durante 11 años, recuerdo los primeros días en los que asegurar tu cuenta fue una pesadilla. Antes de las protecciones adicionales, tuve que recuperar mi cuenta casi una vez al año. Algunos amigos sobre el mes. Las cuentas de Steam son un objetivo de alto tráfico. Al final, esto simplemente no afecta a los usuarios de Steam, pero también a Valve. Me imagino que han perdido mucho dinero solo por corregir e incurrir en los costos debido a estos problemas.

Entonces, en general, no creo que sus prácticas de seguridad sean el resultado de una sola razón.

Tienes una definición de seguridad diferente a la mía,

Steam no es ni siquiera remotamente seguro. Cada aplicación instalada obtiene acceso completo a todo su sistema. No tienes idea de que ningún juego esté instalando un kit raíz o un registrador de claves. No tiene idea de qué datos están leyendo de su sistema y cargando en sus servidores. Por lo que usted sabe, cuando instaló el juego ABC, subió todo el contenido de su carpeta de usuario y su carpeta de descarga, robó su contraseña de Steam, inició sesión y vendió la información de su tarjeta de crédito.

Si Steam realmente tomara en serio la seguridad, implementarían un recinto de seguridad similar a Chrome o la tienda de aplicaciones de Windows o la tienda de aplicaciones de Mac o Android o iOS, de modo que los juegos que distribuyen no puedan acceder a su sistema.

La seguridad que mencionas solo tiene que ver con el inicio de sesión para Steam de personas que no están en tu sistema. Lo que, si bien todas sus medidas parecen hacer que las cosas sean más seguras, el hecho de que cualquier juego de Steam instalado pueda robar esa información hace que sea bastante inseguro, especialmente ahora que ofrecen tantos juegos. Apple (iOS o tienda de aplicaciones Mac), Microsoft (tienda de aplicaciones Windows) solo permite aplicaciones que viven en sus entornos limitados para evitar este tipo de cosas. Android y iOS obligan a todas las aplicaciones a vivir en cajas de arena. Steam no tiene caja de arena

Una cosa que las otras respuestas no mencionan es cómo el fraude afecta a los bancos en comparación con Steam. Si una cuenta bancaria se desvanece, devuelven el dinero y eso es todo. Podrían perder clientes, tal vez.

Por otro lado, si un proveedor (steam) en este caso se desgasta con demasiada frecuencia, o tiene demasiadas devoluciones de cargo en su contra, las compañías de tarjetas de crédito las incluirán en la lista negra. Si Steam ya no puede aceptar tarjetas de crédito, se realizan como compañía.

No estoy diciendo que esto sea del 100% por qué, pero debería ser un buen indicador de cuán importante es realmente su seguridad. Mi cuenta de correo electrónico principal se filtró en ese hackeo masivo de Gmail hace unos años. Las primeras cosas que intentaron perseguir los "piratas informáticos" fueron mis cuentas de Steam y Netflix. También obtuve intentos fallidos de inicio de sesión para casi todas las demás redes de juego a las que me había suscrito. Si no tuvieran una seguridad tan buena, alguien podría haber ingresado fácilmente a mi cuenta y se habría regalado miles de dólares en juegos. Mi banco no me habría advertido porque soy un coleccionista de juegos, por lo que habría sido detectado como un gasto habitual más probable. Me alegra que mantengan a ese cachorro encerrado, ya que han sido víctimas de robo de identidad en múltiples formas. Ahora solo me siento cómodo con los sitios que requieren autenticación de segundo factor.

ps. Hasta el día de hoy aún puedes encontrar mis credenciales de Gmail en Internet ... se han distribuido en todas partes. Fue una llamada de atención, tuve que cambiar mi contraseña para tantos sitios que era repugnante, pero ahora soy mucho más cuidadosa y utilizo contraseñas únicas en casi todos los sitios.