Valve มีปัญหาด้านความปลอดภัย และไม่ใช่สิ่งที่มองข้ามได้อีกต่อไป การค้นพบเมื่อเร็วๆ นี้ว่าเกม Chemia ซึ่งมีให้เล่นผ่านโปรแกรม Early Access (เออร์ลีแอคเซส) ของ Steam (สตรีม) กำลังแพร่กระจายมัลแวร์ (malware) อย่างลับๆ นั้นเป็นมากกว่าแค่สัญญาณเตือนภัย มันคือสัญญาณเตือนที่ดังขึ้นอย่างต่อเนื่องว่าระบบของ Steam มีปัญหา และผู้ใช้งานกำลังตกอยู่ในความเสี่ยง
ไม่ใช่แค่ Chemia มีมัลแวร์เท่านั้น แต่เป็นเรื่องของความง่ายดายที่มันเกิดขึ้น ความเงียบที่ Valve (วาล์ว) ลบเกมออก และการที่บริษัทไม่ได้ให้คำอธิบายหรือความช่วยเหลือใดๆ แก่ผู้ที่ดาวน์โหลดเกมไปเลย หาก Valve ต้องการให้ Steam เป็นแพลตฟอร์ม (platform) ที่ปลอดภัยและน่าเชื่อถือต่อไป ก็ต้องเริ่มทำตัวให้สมกับที่กล่าวอ้าง ตอนนี้มันกำลังล้มเหลว
Valve ต้องแก้ไขข้อบกพร่องด้านความปลอดภัยของ Steam
Early Access ของ Steam คือช่องโหว่ด้านความปลอดภัย
พูดกันตรงๆ คือ ส่วน Early Access ของ Steam เป็นช่องโหว่ Valve ใช้เป็นวิธีในการให้นักพัฒนาเกมอินดี้ (indie developer) ทดสอบเกมที่ยังไม่สมบูรณ์ในสภาพแวดล้อมจริง ซึ่งฟังดูดีในทางทฤษฎี แต่ในทางปฏิบัติ มันได้กลายเป็นจุดบอดที่แฮกเกอร์ (hacker) กำลังใช้ประโยชน์อยู่แล้ว
Chemia เป็นเกม Early Access เกมที่สามในปีนี้ที่ถูกจับได้ว่ามีการแพร่กระจายมัลแวร์ ก่อนหน้านี้มี Sniper: Phantom’s Resolution และ PirateFi ทั้งหมดหลุดรอดกระบวนการของ Steam ทั้งหมดได้รับอนุญาตให้อยู่บนแพลตฟอร์มโดยไม่มีการสแกนอย่างเหมาะสม นั่นไม่ใช่เรื่องบังเอิญ แต่มันเป็นรูปแบบที่เกิดขึ้นซ้ำๆ
Valve อาจโต้แย้งว่า เกม Early Access มีไว้สำหรับ "ผู้ซื้อพึงระวัง" (buyer beware) แต่นั่นไม่ใช่ข้อแก้ตัวเมื่อมีมัลแวร์เข้ามาเกี่ยวข้อง ผู้ใช้งานไม่ได้แค่ดาวน์โหลดเกมที่มีบั๊ก (bug) เท่านั้น พวกเขากำลังให้แฮกเกอร์เข้าถึงระบบของพวกเขาโดยไม่รู้ตัว รวมถึงข้อมูลที่ละเอียดอ่อน เช่น คีย์ (key) ของกระเป๋าเงินคริปโต (crypto wallet) และรหัสผ่านเบราว์เซอร์ (browser password) นั่นเป็นการข้ามเส้นที่ Valve ควรจะป้องกันไว้
Valve ต้องแก้ไขข้อบกพร่องด้านความปลอดภัยของ Steam
ความเงียบของ Valve เป็นสิ่งที่ไม่รับผิดชอบ
ที่แย่กว่าการละเมิดความปลอดภัยเองคือวิธีที่ Valve ตอบสนอง หรือจะพูดให้ถูกคือ วิธีที่ไม่ได้ตอบสนอง ไม่มีการแถลงการณ์ต่อสาธารณะ ไม่มีการเตือนผู้เล่น ไม่มีความพยายามที่จะช่วยเหลือผู้ที่ดาวน์โหลด Chemia ก่อนที่จะถูกลบออก หน้าร้านค้าของเกมตอนนี้เพียงแค่เปลี่ยนเส้นทางไปยังหน้าแรกของ Steam ราวกับว่าไม่มีอะไรเกิดขึ้น
การขาดความโปร่งใสนี้เป็นสิ่งที่ยอมรับไม่ได้ เมื่อเกิดการละเมิดเช่นนี้ ความรับผิดชอบขั้นต่ำของ แพลตฟอร์ม ใดๆ คือการแจ้งให้ผู้ใช้งานทราบ แต่ Valve กลับกวาดมันไปอยู่ใต้พรมอย่างเงียบๆ มันดูเหมือนเป็นการควบคุมความเสียหาย ไม่ใช่การป้องกันความเสียหาย
การที่บริษัทปฏิเสธที่จะรับทราบสิ่งที่เกิดขึ้นนั้นส่งข้อความที่ผิด: ว่าการละเมิดความปลอดภัยสามารถจัดการได้อย่างเงียบๆ และผู้ใช้งานไม่จำเป็นต้องรู้เมื่อข้อมูลของพวกเขาตกอยู่ในความเสี่ยง
Valve ต้องแก้ไขข้อบกพร่องด้านความปลอดภัยของ Steam
ภัยคุกคามที่ไปไกลกว่า Steam
สิ่งที่น่ากังวลยิ่งกว่าคือใครอยู่เบื้องหลังการโจมตีครั้งนี้ มัลแวร์ถูกติดตามไปที่ EncryptHub (เอนคริปต์ฮับ) ซึ่งเป็นกลุ่มแฮกเกอร์ที่รู้จักกันในชื่อ Larva-208 (ลาร์วา-208) ซึ่งเชื่อมโยงกับแคมเปญฟิชชิง (phishing) ทั่วโลกก่อนหน้านี้ นี่ไม่ใช่ไวรัส (virus) สุ่มๆ ที่บังเอิญรวมอยู่ในเกม แต่มันเป็นการโจมตีที่ประสานงานกันเพื่อใช้ประโยชน์จากความไว้วางใจในแพลตฟอร์ม Steam
มัลแวร์ไม่ได้แค่ติดเชื้อคอมพิวเตอร์เท่านั้น มันดึงคำสั่งจากช่อง Telegram (เทเลแกรม) ดาวน์โหลดไฟล์ที่เป็นอันตรายเพิ่มเติมจากโดเมน (domain) ที่น่าสงสัย และทำงานอย่างเงียบๆ อยู่เบื้องหลังเพื่อหลีกเลี่ยงการตรวจจับ และใช่ มันกำหนดเป้าหมายข้อมูลกระเป๋าเงินคริปโตโดยเฉพาะ แม้ว่า Chemia จะไม่ใช่เกม web3 (เว็บ3) แต่มัลแวร์ของมันก็มีผู้ใช้งาน web3 อยู่ในใจอย่างชัดเจน
นั่นหมายความว่าการเชื่อมโยงระหว่างการเล่นเกมและคริปโตตอนนี้อยู่ในเรดาร์ (radar) ของแฮกเกอร์อย่างเป็นทางการแล้ว ใครก็ตามที่มีสินทรัพย์ดิจิทัลควรคิดให้ดีก่อนที่จะดาวน์โหลดเกมใหม่ แม้กระทั่งจากแพลตฟอร์มที่น่าเชื่อถือ
Valve ต้องแก้ไขข้อบกพร่องด้านความปลอดภัยของ Steam
Steam ไม่สามารถผลักภาระนี้ให้ผู้ใช้งานได้อีกต่อไป
ผู้เชี่ยวชาญด้านความปลอดภัยกำลังบอกให้ผู้คนสแกนระบบของตนและตรวจสอบหาสัญญาณของการติดเชื้อ และในขณะที่นั่นเป็นคำแนะนำที่ดี มันก็เน้นย้ำถึงปัญหาที่ใหญ่กว่า: ภาระกำลังถูกผลักไปให้ผู้ใช้งานที่ไม่มีเหตุผลที่จะสงสัยว่ามีอะไรผิดปกติตั้งแต่แรก
พูดให้ชัดเจนคือ ไม่ใช่หน้าที่ของเกมเมอร์ (gamer) ทั่วไปที่จะตรวจสอบไฟล์เกมหามัลแวร์ แต่มันเป็นหน้าที่ของ Valve แต่ตอนนี้ Steam ไม่เพียงแค่ล้มเหลวในการป้องกันการโจมตีเหล่านี้เท่านั้น แต่ยังปฏิเสธที่จะยอมรับหลังจากนั้น นั่นคือความล้มเหลวครั้งใหญ่ของความเป็นผู้นำและความรับผิดชอบ แนวทางนี้ไม่ยั่งยืน ยิ่ง Valve มองว่าความปลอดภัยเป็นปัญหาของคนอื่นมากเท่าไหร่ ก็ยิ่งเชื้อเชิญให้แฮกเกอร์ใช้ประโยชน์มากขึ้นเท่านั้น และพวกเขาจะทำเช่นนั้น เพราะพวกเขากำลังทำอยู่แล้ว
Valve มีอำนาจในการแก้ไขปัญหานี้
Valve ไม่ใช่สตาร์ทอัพ (startup) เล็กๆ ที่ประสบปัญหาทรัพยากรจำกัด มันดำเนินงานหนึ่งในแพลตฟอร์มเกมดิจิทัลที่ใหญ่ที่สุดในโลก มันมีเงินทุน ความสามารถ และโครงสร้างพื้นฐานในการใช้มาตรการป้องกันที่แข็งแกร่งขึ้น ระบบตรวจจับที่ดีขึ้น และโปรโตคอล (protocol) ที่ชัดเจนสำหรับการจัดการเหตุการณ์เช่นนี้
ไม่มีข้อแก้ตัวสำหรับการอนุญาตให้เกมที่มีมัลแวร์อยู่บนแพลตฟอร์มในปี 2025 ไม่มีข้อแก้ตัวสำหรับการไม่แจ้งให้ผู้ใช้งานทราบ และแน่นอนว่าไม่มีข้อแก้ตัวสำหรับการแสร้งทำเป็นว่าไม่มีอะไรเกิดขึ้น
Valve จำเป็นต้องปรับปรุงโปรแกรม Early Access ของตน มันจำเป็นต้องแนะนำการสแกนมัลแวร์แบบเรียลไทม์ (real-time) ตรวจสอบการอัปโหลดของนักพัฒนา และกำหนดกฎที่เข้มงวดขึ้นสำหรับการผลักดันการอัปเดต (update) ไปยังเกมที่ใช้งานอยู่ นอกจากนี้ยังต้องเริ่มซื่อสัตย์กับชุมชนเมื่อมีสิ่งผิดปกติเกิดขึ้น
นี่ไม่ใช่เรื่องของความสมบูรณ์แบบ มันเป็นเรื่องของการรับผิดชอบ
