महत्वपूर्ण निष्कर्ष
स्टीम खुलेआम झूठ बोलता है, अपराधियों को बचाता है, और जांच में बाधा डालता है।
परिचय: सोची-समझी लापरवाही का अपराध
अगस्त 2025 में, दुनिया का सबसे बड़ा गेमिंग प्लेटफ़ॉर्म Steam न केवल एक सुरक्षा उल्लंघन का शिकार हुआ; उसने सक्रिय रूप से एक को सक्षम किया। प्रणालीगत विफलताओं की एक श्रृंखला और घोर लापरवाही के कारण, Valve ने गेम को अनुमति दी। ब्लॉकब्लास्टर्स (AppID 3872350) एक विनाशकारी मैलवेयर अभियान के लिए ट्रोजन हॉर्स बन गया। यह कोई परिष्कृत, अवश्यंभावी हमला नहीं था। यह एक पारंपरिक डेटा-चोरी अभियान था जो इसलिए सफल हुआ क्योंकि Steam की सुरक्षा मूल रूप से टूटी हुई है। 22 दिनों तक, इसने लाखों डॉलर चुराए, क्रिप्टो वॉलेट्स खाली कर दिए, और उपयोगकर्ताओं के खातों को समझौता कर दिया, जबकि वाल्व ने कुछ भी नहीं किया।
जब सच्चाई सामने आई, Valve की प्रतिक्रिया अपने उपयोगकर्ताओं की रक्षा करने की नहीं, बल्कि अपनी छवि की रक्षा करने की थी। कंपनी ने एक ही धोखाधड़ी भरा बयान जारी किया, जिसमें "compromised developer account" को दोषी ठहराया गया—एक दयनीय झूठ जो दोष दूसरों पर मढ़ने और खुद को कानूनी जिम्मेदारी से बचाने के लिए रचा गया था। यह लेख उस झूठ को बेनकाब करेगा। फॉरेंसिक डेटा, समयरेखा विश्लेषण और वाल्व की अपनी नीतियों का उपयोग करके, हम साबित करेंगे कि यह घटना केवल कार्रवाई में विफलता नहीं थी, बल्कि आपराधिक लापरवाही को जानबूझकर छिपाने का एक जानबूझकर किया गया षड्यंत्र था।

उजागर पहचान
Steam खुलेआम झूठ बोलता है और दुर्भावनापूर्ण एप्लिकेशन के पीछे के सत्यापित डेवलपर वैलेन्टिन लोपेस को छिपाता है।
गैर-कारवाई की 22-दिवसीय समय-सीमा
Valve के पास इसे रोकने के लिए 22 दिन थे। उपयोगकर्ताओं की रिपोर्टें आ रही थीं, और प्लेटफ़ॉर्म डेटा ने स्पष्ट रूप से समस्या के संकेत दिखाए थे। उनकी चुप्पी एक विकल्प था।
ब्लॉकब्लास्टर्स लॉन्च हो गया है। एक स्वच्छ, वैध बिल्ड को स्टीम की जांच प्रक्रिया द्वारा अनुमोदित किया गया है।
जाल तैयार है। हमलावर पैच बिल्ड 19799326 को धकेलते हैं। यह अपडेट, जिसमें मैलवेयर पेलोड शामिल है, स्टीम द्वारा अनुमोदित है और सभी खिलाड़ियों को वितरित किया जाता है।
पहले पीड़ित चेतावनी देते हैं। उपयोगकर्ता Steam Support पर असामान्य CPU उपयोग, संदिग्ध नेटवर्क ट्रैफ़िक और की सबसे गंभीर रिपोर्टिंग के साथ टिकटों की बाढ़ ले आते हैं। ये टिकट एक काले गड्ढे में खो जाते हैं, जिन्हें Valve द्वारा अनदेखा कर दिया जाता है।
डेटा चेतावनी की पुकार कर रहा है। सार्वजनिक SteamDB टेलीमेट्री दिखाती है कि खिलाड़ियों की संख्या एकल अंकों तक गिर गई है, फिर भी यह गेम सैकड़ों मशीनों पर इंस्टॉल है और चुपचाप डेटा चुरा रहा है। यह भारी विसंगति एक खतरे का संकेत है जिसे किसी भी सक्षम निगरानी प्रणाली को पकड़ लेना चाहिए था।
समुदाय कार्रवाई करता है। स्वतंत्र सुरक्षा शोधकर्ताओं ने मैलवेयर के टेलीग्राम-आधारित कमांड-एंड-कंट्रोल बुनियादी ढांचे का खुलासा किया, जिससे हैकर्स को मजबूर होना पड़ा।
सबूत निर्विवाद है। G DATA CyberDefense AG एक पूर्ण फोरेंसिक रिपोर्ट प्रकाशित करता है, जो मैलवेयर के बहु-चरणीय हमले के मार्ग की पुष्टि करती है और उल्लंघन के तकनीकी विवरणों को उजागर करती है।
हमले की संरचना
यह अत्याधुनिक मैलवेयर नहीं था। यह सामान्य स्क्रिप्ट्स और स्टीलर्स का एक सरल लेकिन प्रभावी मिश्रण था, जिसे अरबों डॉलर के प्लेटफ़ॉर्म के लिए पहचानना बेहद आसान होना चाहिए था।
चरण 1: प्रारंभिक समझौता (game2.bat)
प्रारंभिक पेलोड, एक साधारण बैच स्क्रिप्ट, ने बुनियादी टोही की: आईपी, भू-स्थानिक स्थिति और Steam उपयोगकर्ता विवरण एकत्र करना। फिर इसने एक पासवर्ड-संरक्षित ZIP फ़ाइल (v1.zip) डाउनलोड की, जो भोले-भाले स्वचालित स्कैनरों को बायपास करने की एक क्लासिक तकनीक है।
चरण 2: बचाव और वृद्धि (वीबीएस लोडर्स)
VBS स्क्रिप्ट्स का उपयोग करके, मैलवेयर ने अपने मुख्य घटकों को छिपी हुई कमांड विंडो में निष्पादित किया। इसने Microsoft Defender की अपवाद सूची में अपनी डायरेक्टरी को जोड़ा एक ऐसा कार्य जो किसी भी निगरानी वाले सिस्टम पर तुरंत उच्च-प्राथमिकता वाला अलर्ट ट्रिगर करना चाहिए।
चरण 3: डेटा चोरी (Client-built2.exe और Block1.exe)
सुरक्षा तंत्र निष्क्रिय होने पर, मैलवेयर ने अपने प्राथमिक पेलोड तैनात किए: निरंतर पहुँच के लिए पाइथन-आधारित बैकडोर और StealC इन्फोस्टीलर का एक वेरिएंट। इसने ब्राउज़र डेटा, सत्र टोकन और सबसे महत्वपूर्ण रूप से Chrome, Edge और Brave से क्रिप्टोकरेंसी वॉलेट्स को निशाना बनाया। सभी चोरी किए गए डेटा को असुरक्षित HTTP ट्रैफ़िक के माध्यम से दो कमांड-एंड-कंट्रोल सर्वरों पर भेजा गया। क्रिप्टो ड्रेनर IOCs ने संगठित चोरी अभियानों के लिए Steam को मैलवेयर वितरण वेक्टर के रूप में पुष्टि किया।
विश्वासघात
ठीक उन्हीं के विश्वसनीय प्रमाणपत्र और उपेक्षा के कारण दर्जनों चोरी हुईं, जिन्हें वे छिपाते हैं। यह बड़े पैमाने पर प्लेटफ़ॉर्म की विश्वसनीयता का शोषण करने वाले एक पाठ्यपुस्तक-स्तरीय आपूर्ति श्रृंखला हमले का उदाहरण है।
समझौते के संकेतक (IoCs)
| फ़ाइल | एसएचए256 | वर्गीकरण |
|---|---|---|
game2.bat | aa1a1328e0d0042d071bca13ff9a13116d8f3cf77e6e9769293e2b144c9b73b3
|
बीएटी.ट्रोजन-स्टीलर.स्टिमब्लास्टर.एफ |
launch1.vbs | c3404f768f436924e954e48d35c27a9d44c02b7a346096929a1b26a1693b20b3
|
स्क्रिप्ट.मैलवेयर.बैचरनर.ए@आईओसी |
test.vbs | b2f84d595e8abf3b7aa744c737cacc2cc34c9afd6e7167e55369161bc5372a9b
|
स्क्रिप्ट.मैलवेयर.बैचरनर.ए@आईओसी |
Client-built2.exe | 17c3d4c216b2cde74b143bfc2f0c73279f2a007f627e3a764036baf272b4971a
|
Win64.Backdoor.StimBlaster.L6WGC3 |
Block1.exe | 59f80ca5386ed29eda3efb01a92fa31fb7b73168e84456ac06f88fdb4cd82e9e | Win32.ट्रोजन-स्टीलर.स्टीलसी.आरएसजेपीएक्सएफ |
झूठ का पर्दाफाश: "हैक्ड अकाउंट" पूरी बकवास है
छिपाव उजागर
Steam झूठ बोलता है और पीड़ितों की मदद करता है, जबकि उसकी कंपनी डेवलपर्स की जांच करती है और उनकी सामग्री को सबसे ऊँचा विश्वास प्रमाणपत्र देती है।
आइए Valve के "हैक्ड डेवलपर" बहाने को वही कहें जो यह है: एक दयनीय और आसानी से खंडित किया जा सकने वाला झूठ। यह उनके उपयोगकर्ता आधार की बुद्धिमत्ता का अपमान है, एक ऐसा कथा-निर्माण जो उन्हें अपनी ही लापरवाही के परिणामों से बचाने के लिए रचा गया है। यह पूरी कल्पना उसी क्षण ध्वस्त हो जाती है जब आप Steam की अपनी अनिवार्य प्रक्रियाओं को देखते हैं।
- $100 की दीवार और पहचान सत्यापन: Steam पर प्रकाशित करने के लिए, प्रत्येक डेवलपर को Steam Direct प्रोग्राम से गुजरना पड़ता है। इसमें $100 का शुल्क भरना और Know Your Customer (KYC) प्रक्रिया पूरी करना शामिल है, जिसमें कानूनी नाम, बैंकिंग जानकारी और कर दस्तावेज़ प्रदान किए जाते हैं। अपराधी कोई गुमनाम भूत नहीं था; वाल्व के पास उनकी सत्यापित पहचान और वित्तीय विवरण फाइल में मौजूद थे। यह उनकी निष्क्रियता को अपने उपयोगकर्ताओं की बजाय एक सत्यापित भागीदार की रक्षा करने का एक जानबूझकर किया गया निर्णय बनाता है।
- 22-दिवसीय ब्लैकआउट मिथक: Steamworks डेवलपर्स को उनके खाते सुरक्षित करने के लिए मजबूत उपकरण प्रदान करता है। एक वैध डेवलपर जिसने नियंत्रण खो दिया हो, वह "प्रकाशक क्रेडेंशियल्स तक पहुँच खोने" का टिकट दर्ज कर सकता है। यह प्रक्रिया तेज़ होने के लिए डिज़ाइन की गई है, जो प्रकाशित करने के अधिकारों और बिल्ड्स को हफ्तों में नहीं, बल्कि घंटों में फ्रीज़ कर देती है। यह विचार कि एक डेवलपर को 20 दिनों से अधिक समय तक लॉक आउट किया जा सकता है जबकि उनका गेम मैलवेयर फैला रहा हो, हास्यास्पद है। यह दो परिदृश्यों में से एक का संकेत देता है, जो दोनों ही मामलों में वाल्व को दोषी ठहराते हैं: या तो डेवलपर मिलीभगत में था, या वाल्व ने उनके घबराए हुए सपोर्ट टिकटों के साथ-साथ दर्जनों उपयोगकर्ता शिकायतों को भी अनदेखा कर दिया।
- उपयोगकर्ता शिकायतों की व्यवस्थित उपेक्षा: दर्जनों उपयोगकर्ताओं ने वित्तीय चोरी, मैलवेयर गतिविधि और खाते के समझौते की विस्तृत रिपोर्ट दर्ज कीं। ये अस्पष्ट शिकायतें नहीं थीं; ये कार्रवाई योग्य खुफिया जानकारी थीं। एक सक्षम सहायता प्रणाली इन्हें चिह्नित कर देती, मामले को उच्चाधिकारियों तक पहुंचा देती, और जांच पूरी होने तक 24 घंटों के भीतर ऐप पेज को निलंबित कर देती। Valve द्वारा 22 दिनों तक ऐसा न करना कोई चूक नहीं है; यह जानबूझकर अनभिज्ञता बनाए रखने की नीति है।
मुख्य धोखा: एक डिजिटल अपराध स्थल में छेड़छाड़
यहीं पर वाल्व की लीपापोटी साधारण लापरवाही से आगे बढ़कर उस स्थिति में पहुँच जाती है जिसे केवल इस रूप में वर्णित किया जा सकता है डिजिटल अपराध स्थल में छेड़छाड़। इसे बिना किसी अस्पष्टता के कहा जाए: Valve ने संक्रमित गेम को नहीं हटाया।
C2 इन्फ्रास्ट्रक्चर को ट्रैक कर रहे सुरक्षा शोधकर्ताओं द्वारा किए गए फोरेंसिक साक्ष्य और विश्लेषण इसे निस्संदेह पुष्टि करते हैं: अपराधियों ने स्वयं अपने दुर्भावनापूर्ण बिल्ड्स को Steam के सर्वरों से हटा दिया। उन्होंने यह 21 सितंबर को किया, केवल तब जब उनका टेलीग्राम नियंत्रण समूह सार्वजनिक रूप से उजागर हो गया था। उन्होंने एक "स्कोर्च्ड अर्थ" निकास रणनीति अपनाई, सबूत नष्ट कर अपने निशान मिटा दिए।

Valve का कार्रवाई करने का दावा एक स्पष्ट झूठ है। हमलावरों को अपने निशान मिटाने का इंतजार करके और फिर स्टोर पेज हटाने के लिए हस्तक्षेप करके, Valve ने प्रभावी रूप से मुख्य सबूतों को नष्ट होने दिया। यह क्षति नियंत्रण नहीं था; यह बाधा डालना था। वे उपयोगकर्ताओं की रक्षा नहीं कर रहे थे; वे खुद की रक्षा कर रहे थे, यह सुनिश्चित करके कि अपराध स्थल साफ़ हो।
कॉर्पोरेट उदासीनता की मानवीय कीमत
Valve की लापरवाही के वास्तविक दुनिया में गंभीर परिणाम हुए, जिनकी उसने कोई जिम्मेदारी नहीं ली।
- वित्तीय तबाही: $150,000 अमेरिकी डॉलर से अधिक चोरी हो गए (ऐसा लगता है कि यह $1,000,000 अमेरिकी डॉलर से भी अधिक है)। कई लोगों के लिए यह जीवन-परिवर्तनकारी राशि थी। एक स्ट्रीमर ने कैंसर उपचार के लिए लाइव चैरिटी प्रसारण के दौरान $32,000 खो दिए।
- विश्वासघात: सैकड़ों उपयोगकर्ताओं के खाते हैक हो गए, उनका डेटा चोरी हो गया, और उनकी प्रणालियाँ संक्रमित हो गईं।
- पूर्ण मौन: आज तक, Valve ने कोई रिफंड नहीं दिया, कोई मुआवजा नहीं दिया, और कोई सच्ची माफी नहीं मांगी। उनका फॉर्म-लेटर वाला जवाब हर पीड़ित का अपमान था।
मकसद: लोगों से ऊपर मुनाफा
Valve ऐसा क्यों होने देगा? उद्देश्य उतना ही सरल है जितना कि निंदनीय: यह सस्ता था।
एक वास्तविक सुरक्षा सुधार सभी बिल्ड्स के लिए सैंडबॉक्स्ड परीक्षण लागू करना, डेवलपर क्रेडेंशियल्स को अलग करना, एक सक्षम सुरक्षा टीम की भर्ती करना, और पारदर्शिता रिपोर्ट प्रकाशित करना लाखों डॉलर की लागत आएगी। पीड़ितों को मुआवजा देना एक महंगा मिसाल कायम करेगा।
वैकल्पिक क्या? एक अस्पष्ट, भ्रामक बयान जारी करें, समाचार चक्र को आगे बढ़ने दें, और न्यूनतम पीआर झटका सहन करें। यह एक सोचा-समझा व्यावसायिक निर्णय था, जिसमें उपयोगकर्ता की सुरक्षा को एक स्वीकार्य हानि माना गया।
लापरवाही का यह पैटर्न नया नहीं है। PirateFi (2024) से लेकर Chemia (2025) तक, Valve ने बार-बार चेतावनियों को अनदेखा किया और अपने प्लेटफ़ॉर्म पर मैलवेयर को आने दिया, केवल सार्वजनिक आक्रोश के बाद ही कार्रवाई की। BlockBlasters कोई अपवाद नहीं था; यह एक सड़ी हुई सुरक्षा संस्कृति का अपरिहार्य परिणाम था।
अंतिम फैसला: आरोपित दोषी है।
तथ्य स्वयं बोलेंगे।
- तथ्य: Valve की स्वचालित प्रणालियों ने एक बिल्ड को मंजूरी दे दी जिसमें तुच्छ मैलवेयर था।
- तथ्य: Valve की सहायता टीम ने तीन सप्ताह तक पीड़ितों की सीधी चेतावनियों को अनदेखा किया।
- तथ्य: हैकरों ने स्वयं दुर्भावनापूर्ण फ़ाइलें हटाने के बाद ही वाल्व ने कार्रवाई की।
- तथ्य: वाल्व का आधिकारिक बयान घटनाओं का जानबूझकर किया गया गलत प्रस्तुतीकरण था, जिसका उद्देश्य जवाबदेही से बचना था।
Valve सिर्फ असफल नहीं हुआ। उसने झूठ बोला। उसने अपनी लापरवाही को छिपाया, अपने मुनाफे की रक्षा की, और अपने उपयोगकर्ताओं को कीमत चुकाने के लिए छोड़ दिया। समुदाय ने Steam में जो भरोसा किया था, वह अब कभी नहीं टूटने वाला टूट चुका है। यह कोई गलती नहीं थी; यह एक विश्वासघात था।




