Пользовательские игровые режимы были частью Dota 2 с момента её создания. Это способ для игроков создавать свои собственные модифицированные версии игры, включая побочные проекты, вроде Dota Auto Chess, Pudge Wars и Overthrow.
Однако оказывается, что в течение года между 2022 и 2023 годами в них была огромная дыра в безопасности, которая давала хакерам своеобразный чёрный ход к компьютерам игроков. Проблема была исправлена с помощью небольшого изменения 12 января, но Avast Threat Labs, которая первой обнаружила угрозу и сообщила об этом Valve, раскрыла шокирующие подробности о том, как вообще работает взлом.
Согласно отчёту, хакер создал четыре пользовательских карты игры: «entitled test addon pls ignore», «Overdog no annoying heroes», «Custom Hero Brawl» и «Overthrow RTZ Edition» – все они были адаптациями популярных режимов.
Разница, однако, заключалась в том, что они использовали баг V8, движка Google с открытым исходным кодом JavaScript и WebAssembly, чтобы получить бэкдор-доступ к Dota 2. Как и Grand The Auto 5, Dota 2 также пострадала от эсксплойта, связанного с удалённым выполнением кода. Рекомендуем ознакомиться с последним отчётом Avast Threat Labs, чтобы подробнее узнать, как ошибка V8 от 2021 использовалась в игре для атак игроков в пользовательских игровых режимах.
К счастью, компания Valve хорошо справилась с ситуацией. Команда не только немедленно выпустила исправление, но и удалила пользовательские игры, уведомила затронутых игроков и ввела новые меры безопасности, чтобы предотвратить подобные взломы в будущем.
Хотя в пользовательские игры находится теперь снова безопасно, по-прежнему важно следить за теми, которые кажутся наиболее сомнительными, поскольку в любой момент могут появиться другие, более изощрённые дыры в безопасности.
