Önemli Bulgu
Steam alenen yalan söylüyor, suçluları koruyor ve soruşturmayı engelliyor.
Giriş: Kasıtlı İhmal Suçu
Ağustos 2025’te, dünyanın en büyük oyun platformu olan Steam, sadece bir güvenlik ihlaline maruz kalmakla kalmadı; aynı zamanda böyle bir ihlali aktif olarak mümkün kıldı. Bir dizi sistemik arıza ve ağır ihmal sonucu, Valve oyunun BlockBlasters (AppID 3872350), yıkıcı bir kötü amaçlı yazılım kampanyasının bir Truva atı haline geldi. Bu, sofistike ya da kaçınılmaz bir saldırı değildi. Steam’in güvenliğinin temelden çökmüş olması nedeniyle başarılı olan, ders kitabına uygun bir veri hırsızlığı operasyonuydu. 22 gün boyunca, Valve hiçbir önlem almazken bu uygulama yüz binlerce dolar çaldı, kripto cüzdanlarını boşalttı ve kullanıcı hesaplarını ele geçirdi.
Gerçek ortaya çıktığında, Valve’in tepkisi kullanıcılarını korumak değil, kendi imajını korumak oldu. Şirket, suçu başka bir yere atmak ve sorumluluktan kaçmak amacıyla uydurulmuş acınası bir yalan olan “güvenliği ihlal edilmiş bir geliştirici hesabı”nı suçlayan tek bir aldatıcı açıklama yayınladı. Bu makale, o yalanı çürütecektir. Adli veriler, zaman çizelgesi analizi ve Valve’in kendi politikalarını kullanarak, bu olayın sadece harekete geçmeme değil, kasıtlı bir şekilde suç teşkil eden ihmali örtbas etme girişimi olduğunu kanıtlayacağız.

Açığa Çıkan Kimlik
Steam, kötü amaçlı uygulamanın arkasındaki doğrulanmış geliştirici olan Valentin Lopes’i açıkça gizleyip yalan söylüyor.
22 Günlük Eylemsizlik Süreci
Valve’in bunu durdurmak için 22 günü vardı. Kullanıcı şikayetleri arka arkaya geliyordu ve platform verileri, sorun olduğuna dair açık işaretler gösteriyordu. Sessiz kalmaları bir tercihti.
BlockBlasters piyasaya sürüldü. Temiz ve geçerli bir sürüm, Steam’in inceleme sürecinden geçti.
Tuzak kuruldu. Saldırganlar, Patch Build 19799326 sürümünü yayıyor. Kötü amaçlı yazılım yükünü içeren bu güncelleme, Steam tarafından onaylanıyor ve tüm oyunculara dağıtılıyor.
İlk mağdurlar alarm çaldı. Kullanıcılar, anormal CPU kullanımı, şüpheli ağ trafiği ve en önemlisi çalınan kripto para birimini bildiren destek talepleriyle Steam Destek’i adeta sel bastı. Bu talepler, Valve tarafından görmezden gelinerek bir kara deliğe düştü.
Veriler açıkça bir uyarı veriyor. SteamDB’nin halka açık telemetri verileri, oyuncu sayısının tek haneli rakamlara düştüğünü gösteriyor; ancak oyun hâlâ yüzlerce bilgisayarda yüklü durumda ve sessizce veri sızdırmaya devam ediyor. Bu büyük tutarsızlık, yetkin herhangi bir izleme sisteminin farkına varması gereken bir tehlike işaretidir.
Topluluk harekete geçiyor. Bağımsız güvenlik araştırmacıları, kötü amaçlı yazılımın Telegram tabanlı komuta ve kontrol altyapısını ortaya çıkararak hackerları köşeye sıkıştırıyor.
Kanıt yadsınamaz. G DATA CyberDefense AG, kötü amaçlı yazılımın çok aşamalı saldırı vektörünü doğrulayan ve sızıntının teknik ayrıntılarını ortaya koyan kapsamlı bir adli inceleme raporu yayınladı.
Saldırının Anatomisi
Bu, son teknoloji bir kötü amaçlı yazılım değildi. Yaygın olarak kullanılan komut dosyaları ve bilgi hırsızlığı yazılımlarından oluşan, kaba ama etkili bir karışımdı; milyarlarca dolarlık bir platformun bunu tespit etmesi çocuk oyuncağı olmalıydı.
1. Aşama: İlk Güvenlik İhlali (game2.bat)
İlk yük, basit bir toplu iş komut dosyasıydı ve temel keşif faaliyetleri gerçekleştirdi: IP adresleri, coğrafi konum bilgileri ve Steam kullanıcı bilgilerini topladı. Ardından, şifre korumalı bir ZIP dosyası (v1.zip) indirdi; bu, basit otomatik tarayıcıları atlatmak için kullanılan klasik bir tekniktir.
2. Aşama: Kaçınma ve Tırmanma (VBS Yükleyicileri)
Kötü amaçlı yazılım, VBS komut dosyalarını kullanarak temel bileşenlerini gizli komut pencerelerinde çalıştırdı. Kendi dizinini Microsoft Defender’ın hariç tutma listesine ekledi; bu eylem, izlenen herhangi bir sistemde derhal yüksek öncelikli bir uyarıyı tetiklemesi gereken bir işlemdir.
3. Aşama: Veri Hırsızlığı (Client-built2.exe ve Block1.exe)
Savunma mekanizmaları devre dışı bırakıldıktan sonra, kötü amaçlı yazılım ana yüklerini devreye soktu: kalıcı erişim için Python tabanlı bir arka kapı ve StealC bilgi hırsızının bir varyantı. Bu yazılım, Chrome, Edge ve Brave tarayıcılarındaki tarayıcı verilerini, oturum belirteçlerini ve en önemlisi kripto para cüzdanlarını hedef aldı. Çalınan tüm veriler, güvenli olmayan HTTP trafiği üzerinden iki komuta ve kontrol sunucusuna aktarıldı. Kripto varlıklarını boşaltan bu kötü amaçlı yazılımın IOC’leri, Steam’in organize hırsızlık operasyonları için bir dağıtım vektörü olduğunu doğruladı.
İhanete Uğrayan Güven
Tam da onların güvenilirlik algısı ve dikkatsizlikleri, örtbas ettikleri düzinelerce hırsızlık olayına yol açtı. Bu durum, platforma duyulan güveni büyük ölçekte istismar eden, ders kitabı niteliğinde bir tedarik zinciri saldırısını temsil ediyor.
Güvenlik İhlali Göstergeleri (IOC'ler)
| Dosya | SHA256 | Sınıflandırma |
|---|---|---|
game2.bat | aa1a1328e0d0042d071bca13ff9a13116d8f3cf77e6e9769293e2b144c9b73b3
|
BAT.Trojan-Stealer.StimBlaster.F |
launch1.vbs | c3404f768f436924e954e48d35c27a9d44c02b7a346096929a1b26a1693b20b3
|
Script.Malware.BatchRunner.A@IOC |
test.vbs | b2f84d595e8abf3b7aa744c737cacc2cc34c9afd6e7167e55369161bc5372a9b
|
Script.Malware.BatchRunner.A@IOC |
Client-built2.exe | 17c3d4c216b2cde74b143bfc2f0c73279f2a007f627e3a764036baf272b4971a
|
Win64.Backdoor.StimBlaster.L6WGC3 |
Block1.exe | 59f80ca5386ed29eda3efb01a92fa31fb7b73168e84456ac06f88fdb4cd82e9e | Win32.Trojan-Stealer.StealC.RSZPXF |
Yalanın Çözümlenmesi: “Hacklenen Hesap” Tamamen Saçmalık
Gizleme Girişimi Ortaya Çıktı
Steam, kurbanlara destek olur ve onlara yardım ederken, şirketi ise geliştiricileri denetler ve içeriklerine en yüksek güven sertifikasını verir.
Valve’in “hacklenen geliştirici” bahanesini olduğu gibi adlandıralım: acınası ve kolayca çürütülebilen bir yalan. Bu, kullanıcı kitlesinin zekasına bir hakarettir; kendi ihmallerinin sonuçlarından kendilerini korumak için uydurulmuş bir hikâye. Steam’in kendi zorunlu prosedürlerine baktığınız anda bu hayali hikâye tamamen çöküyor.
- 100 Dolarlık Engelleme ve Kimlik Doğrulama: Steam’de yayın yapabilmek için her geliştiricinin Steam Direct programından geçmesi gerekir. Bu süreç, 100 dolarlık bir ücretin ödenmesini ve “Müşterini Tanı” (KYC) sürecinin tamamlanmasını; yasal isimlerin, banka bilgilerinin ve vergi belgelerinin sunulmasını gerektirir. Suçlu, kimliği bilinmeyen bir hayalet değildi; Valve, onun doğrulanmış kimliğini ve mali bilgilerini kayıtlarında bulunduruyordu. Bu durum, Valve’in harekete geçmemesini, kendi kullanıcıları yerine doğrulanmış bir ortağı korumak için bilinçli bir tercih haline getiriyor.
- 22 Günlük Elektrik Kesintisi Efsanesi: Steamworks, geliştiricilere hesaplarının güvenliğini sağlamak için sağlam araçlar sunar. Kontrolünü kaybeden meşru bir geliştirici, “yayıncı kimlik bilgilerine erişim kaybı” başlıklı bir destek talebi açabilir. Bu süreç hızlı bir şekilde işleyecek şekilde tasarlanmıştır; yayın hakları ve derlemeler haftalar değil, saatler içinde dondurulur. Bir geliştiricinin, oyunu kötü amaçlı yazılım yayarken 20 günden fazla bir süre boyunca erişimden mahrum bırakılabileceği düşüncesi saçmadır. Bu, her ikisi de Valve’i suçlayan iki senaryodan birini ima eder: ya geliştirici bu duruma suç ortağıydı ya da Valve, düzinelerce kullanıcı şikayetinin yanı sıra geliştiricinin çaresizce gönderdiği destek biletlerini de görmezden geldi.
- Kullanıcı Şikayetlerinin Sistematik Olarak Göz Ardı Edilmesi: Onlarca kullanıcı, mali hırsızlık, kötü amaçlı yazılım faaliyetleri ve hesap ele geçirilmesi konusunda ayrıntılı raporlar sundu. Bunlar belirsiz şikayetler değildi; eyleme geçirilebilir istihbarattı. Yetkin bir destek sistemi bunları tespit eder, sorunu üst mercilere iletir ve soruşturma sonuçlanana kadar 24 saat içinde uygulama sayfasını dondururdu. Valve'ın bunu 22 gün boyunca yapmaması bir ihmal değil; kasıtlı bir görmezden gelme politikasıdır.
Temel Aldatmaca: Dijital Suç Mahallinde Kanıtların Tahrif Edilmesi
İşte burada Valve’in örtbas çabası, basit bir ihmalden, ancak şu şekilde tanımlanabilecek bir duruma dönüşüyor: dijital suç mahalline müdahale etmek. Şunu açıkça belirtelim: Valve, virüs bulaşmış oyunu kaldırmadı.
C2 altyapısını izleyen güvenlik araştırmacılarının adli kanıtları ve analizleri bunu kesin olarak doğruluyor: Suçlular, Steam sunucularındaki zararlı yazılım sürümlerini kendileri sildiler. Bunu, Telegram kontrol grubu kamuoyuna ifşa edildikten sonra, 21 Eylül’de yaptılar. İzlerini örtbas etmek için kanıtları yok ederek “yakıp yıkma” taktiğiyle çekildiler.

Valve’in önlem aldığına dair iddiası apaçık bir uydurmadır. Saldırganların kendi izlerini silmelerini bekleyip ancak ondan sonra mağaza sayfasını kaldırmak için harekete geçen Valve, aslında başlıca delillerin yok edilmesine izin vermiştir. Bu bir hasar kontrolü değildi; bir engellemeydi. Kullanıcıları korumuyorlardı; suç mahallini temizleyerek kendilerini koruyorlardı.
Şirketlerin Kayıtsızlığının İnsani Bedeli
Valve’in ihmali, gerçek hayatta bazı sonuçlara yol açtı; ancak şirket bu konuda hiçbir sorumluluk üstlenmedi.
- Mali Çöküş: 150.000 ABD dolarından fazla para çalındı (görünüşe göre 1.000.000 ABD dolarından fazla). Birçok kişi için bu, hayatlarını kökünden değiştirecek bir meblağdı. Bir yayıncı, kanser tedavisi için düzenlediği canlı bir yardım yayını sırasında 32.000 ABD doları kaybetti.
- Güvenin İhaneti: Yüzlerce kullanıcının hesabı ele geçirildi, verileri çalındı ve sistemleri virüs bulaştı.
- Mutlak Sessizlik: Bugüne kadar Valve ne para iadesi ne de tazminat sundu; samimi bir özür de dilemedi. Standart şablon mektupla verdikleri yanıt, her mağdura bir hakaret niteliğindeydi.
Gerekçe: İnsanlardan Önemli Olan Kâr
Valve neden böyle bir şeyin olmasına izin versin ki? Bunun ardındaki neden, alaycı olduğu kadar basit: daha ucuzdu.
Tüm derlemeler için sanal ortamda testlerin uygulanması, geliştirici kimlik bilgilerinin ayrılması, yetkin bir güvenlik ekibinin işe alınması ve şeffaflık raporlarının yayınlanması gibi gerçek bir güvenlik revizyonu milyonlarca dolara mal olur. Mağdurlara tazminat ödenmesi ise maliyetli bir emsal teşkil eder.
Alternatif neydi? Belirsiz ve yanıltıcı bir açıklama yayınlamak, haber gündeminin başka konulara kaymasını beklemek ve halkla ilişkiler açısından en az zararı üstlenmek. Bu, kullanıcı güvenliğinin kabul edilebilir bir kayıp olarak değerlendirildiği, hesaplanmış bir iş kararıydı.
Bu ihmal eğilimi yeni bir şey değil. PirateFi (2024) olayından Chemia (2025) olayına kadar, Valve uyarıları defalarca görmezden geldi ve kötü amaçlı yazılımların platformuna girmesine izin verdi; ancak kamuoyunun tepkisi üzerine harekete geçti. BlockBlasters bir istisna değildi; bu, çürümüş bir güvenlik kültürünün kaçınılmaz sonucuydu.
Nihai Karar: Suçlamalar Doğrulandı
Gerçekler kendi adına konuşsun.
- Gerçek: Valve’in otomatik sistemleri, önemsiz bir kötü amaçlı yazılım içeren bir sürümü onayladı.
- Gerçek: Valve’in destek ekibi, mağdurların doğrudan uyarılarını üç hafta boyunca görmezden geldi.
- Gerçek: Valve, ancak hackerlar kötü amaçlı dosyaları kendileri sildikten sonra harekete geçti.
- Gerçek: Valve’in resmi açıklaması, sorumluluktan kaçınmak amacıyla olayları kasten çarpıtan bir açıklamaydı.
Valve sadece başarısız olmakla kalmadı. Yalan söyledi. Kendi ihmalkarlığını örtbas etti, kârını korudu ve bedelini kullanıcılarına ödetmeye bıraktı. Topluluğun Steam’e duyduğu güven geri dönülmez bir şekilde sarsıldı. Bu bir hata değildi; bir ihanetti.




