Pemain CSGO telah diperingatkan tentang eksploitasi bermasalah yang memungkinkan peretas mencuri kata sandi. Valve rupanya sudah mengetahuinya selama berbulan-bulan dan masih belum memperbaikinya.
Klub Rahasia, sebuah grup rekayasa balik nirlaba, menemukan eksploitasi tersebut lebih dari dua tahun lalu. Mereka mengklaim telah membawanya ke perhatian Valve saat itu. Namun, hal itu tidak pernah diakui, apalagi diperbaiki.
Sekarang, mereka telah memutuskan untuk akhirnya terbuka tentang hal itu setelah mengklaim Valve telah mencegah mereka mengungkapkannya secara publik selama bertahun-tahun.
Posting pertama menunjukkan eksploitasi memungkinkan peretas untuk mengakses data pengguna menggunakan undangan Steam. Ini terkait dengan kelemahan eksekusi kode jarak jauh yang memengaruhi semua game mesin sumber, termasuk CSGO.
“Dua tahun lalu, anggota klub rahasia @floesen_ melaporkan kesalahan eksekusi kode jarak jauh yang memengaruhi semua game mesin sumber. Itu dapat dipicu melalui undangan Steam. Ini masih harus ditambal, dan Valve mencegah kami untuk mengungkapkannya secara publik. ”
Two years ago, secret club member @floesen_ reported a remote code execution flaw affecting all source engine games. It can be triggered through a Steam invite. This has yet to be patched, and Valve is preventing us from publicly disclosing it. pic.twitter.com/0FWRvEVuUX
— secret club (@the_secret_club) April 10, 2021
Sayangnya, itu baru permulaan. Seorang hacker dapat menggunakan kelemahan eksekusi kode jarak jauh untuk melakukan apapun yang mereka inginkan pada sistem pengguna, termasuk mengakses data dan menjalankan program.
“Pada topik utas kami sebelumnya, kami memiliki @brymko @cffsmith @scannell_simon yang menampilkan eksekusi kode jarak jauh mereka 0-hari untuk CSGO. Ini telah dilaporkan ke Valve beberapa bulan yang lalu, tetapi mereka tidak membayar atau mengakui eksploit tersebut. "
On the topic of our previous thread, we have @brymko @cffsmith @scannell_simon showcasing their remote code execution 0-day for CS:GO. This has been reported to Valve months ago, but they have neither paid them nor acknowledged the exploit. pic.twitter.com/yGUJTZZzrO
— secret club (@the_secret_club) April 10, 2021
Terakhir tapi bukan yang akhir, mereka mengungkapkan berita paling menakutkan dari semuanya. Peretas juga dapat menghosting server komunitas, mengirim eksekusi kode jarak jauh ke semua orang di lobi, dan menjalankan skrip untuk mencuri sandi dan skin mereka, dan bahkan menginfeksi hard drive mereka dengan malware.
“Ketiga kali pesona; @the_secret_club anggota MeV menampilkan mereka eksekusi kode jauh 0-hari untuk CSGO. Ini telah dilaporkan ke Valve 5 bulan yang lalu tanpa tanggapan dari Valve. ”
Third times a charm; @the_secret_club member mev showcases their remote code execution 0-day for CS:GO. This has been reported to Valve 5 months ago with no response from Valve. pic.twitter.com/Jw8icRPh3j
— secret club (@the_secret_club) April 10, 2021
Eksploitasi itu cukup buruk. Pemain harus berpikir dua kali untuk bermain CSGO jika mereka peduli dengan datanya.
Namun, yang lebih mengkhawatirkan adalah Valve telah mengetahuinya untuk sementara waktu sekarang dan tidak memperbaikinya, apalagi menyapu ke bawah permadani. Mereka belum mengeluarkan pernyataan tentang masalah tersebut.
Jika Anda khawatir tentang memberikan data berharga Anda saat boot CS: GO, Anda mungkin menjauh dari permainan untuk saat ini.