Na semana passada, a gigante dos videogames Riot Games revelado que os hackers haviam comprometido seu “ambiente de desenvolvimento” — onde a empresa armazena seu código-fonte — com um ataque de engenharia social.
Embora a empresa tenha garantido a seus usuários que “não há indicação de que os dados do jogador ou informações pessoais foram obtidos”, o hack ainda pode ser prejudicial, já que os hackers colocaram as mãos no código-fonte dos jogos populares da Riot. Liga dos lendários e Táticas de Teamfightbem como o código-fonte do sistema antifraude herdado da empresa.
O roubo do código-fonte do anti-fraude – mesmo um sistema antigo – pode ajudar os hackers a desenvolver truques melhores e menos detectáveis, de acordo com especialistas do setor que conversaram com o TechCrunch.
“Do ponto de vista da Riot, é ruim (além de embaraçoso) porque torna mais fácil para os desenvolvedores de cheats entender o jogo e, portanto, mais fácil de desenvolver novos cheats, também torna mais fácil para servidores/clientes de liga de terceiros serem criados,” Paul Chamberlain , que liderou a equipe antitrapaça da Riot até setembro de 2020, disse ao TechCrunch.
Chamberlain disse que o legado anti-cheat não faz parte do League of Legends há cinco anos, mas dado que o desenvolvimento de cheats é “tanto (talvez mais) sobre o jogo em si quanto o sistema anti-cheat, tendo acesso ao o código-fonte do jogo significa que você não precisa fazer engenharia reversa dos binários lançados (que geralmente também são ofuscados ou criptografados) e oferece aos desenvolvedores de cheats um melhor acesso à intenção do código do jogo por meio de comentários e nomes de variáveis/funções/classes.”
“O acesso a um sistema antitrapaça obsoleto é principalmente uma curiosidade, mas pode dar uma ideia de como os desenvolvedores antitrapaça pensam e o que a empresa prioriza em termos do que precisa de proteção”, explicou Chamberlain.
A própria Riot admitiu esse risco. Em um twittar na terçaa empresa disse que “qualquer exposição do código-fonte pode aumentar a probabilidade de novos cheats surgirem” e que seus desenvolvedores estão trabalhando para avaliar o impacto do roubo e “estar preparados para implantar correções o mais rápido possível, se necessário”.
Quando contatado por e-mail, o porta-voz da Riot, Joe Hixson, se recusou a responder às perguntas do TechCrunch além dos tweets da empresa.
Um membro da indústria com conhecimento de sistemas antitrapaça, que pediu para permanecer anônimo porque não estava autorizado a falar com a imprensa, concordou que o roubo do código-fonte do sistema antitrapaça tem o potencial de prejudicar a Riot e seus jogadores.
“Eles terão problemas se o código anti-fraude for publicado”, disse ele. “Se o código-fonte antitrapaça for divulgado, os desenvolvedores de trapaças terão facilidade em contornar tudo.”
O informante explicou que o antigo sistema antitrapaça da Riot provavelmente ainda está sendo usado para impedir uma série de trapaças e trabalhando para detectá-las e bloqueá-las. O roubo do sistema pode comprometer a capacidade da Riot de identificar o hardware usado pelos trapaceiros – as empresas de jogos usam a identificação e impressão digital do hardware usado pelos trapaceiros para bani-los – bem como os sistemas de detecção usados para encontrar os desenvolvedores de trapaceiros e pode até exigir uma reescrita do sistema antitrapaça.
Além disso, disse a fonte, o código-fonte pode até ser usado por desenvolvedores de malware. “Será mais fácil encontrar vulnerabilidades no [game’s] driver que pode ser explorado por malware”, disse a fonte.
O Motherboard informou na terça-feira que os hackers estão exigindo que a Riot Games pague um resgate de US$ 10 milhões para não publicar o código roubado.
“Obtivemos seus dados valiosos, incluindo o precioso código-fonte antitrapaça e todo o código do jogo League of Legends e suas ferramentas, bem como Packman, seu antitrapaça de modo de usuário. Entendemos o significado desses artefatos e o impacto que seu lançamento ao público teria em seus principais títulos, Valorant e League of Legends. Diante disso, estamos fazendo um pequeno pedido de troca de $ 10.000.000”, dizia a nota de resgate obtida pelo Motherboard.