Editorial mirrorBrand mentions redacted to public IDs. Hover to inspect. Everything else is theatre.How it works
THE ENABLERS REGISTRYRegistrar accountability archive
Archive LiveRead-only public record · No ads · No tracking
Case file folder with redacted documents and confidential investigation report.
CASE / TR / STEAM NOT GOOD GUY

[REDACTED] BlockBlasters Kötü Amaçlı Yazılımı: Platformun İhmali Ortaya Çıktı

The Enablers Registry·Editorial mirror·/tr/steam-not-good-guy

Public record copy. Brand names withheld, public accreditation numbers preserved. If the body below says “we”, that means the original publisher, not this mirror. TER only preserves, redacts, and re-contextualizes.

[REDACTED]’de “Not Good Guy” Soruşturması

Kâr, Oyuncuların Önünde: BlockBlasters Olayının Üstü Örtülüyor ([REDACTED] Skandalları, 1. Bölüm)

[REDACTED] hakkındaki gizli gerçeği ortaya çıkaran, işleyişinin ardındaki yolsuzluğu, milyonlarca kullanıcıya zarar veren sistematik suistimali, sömürüyü ve ihmali ortaya koyan ve küresel bir tekelin bir oyun platformunu nasıl bir manipülasyon ve sessiz kâr makinesine dönüştürdüğünü ifşa eden, çok bölümlük bir araştırma dizisi başlatıyoruz.

[REDACTED] BlockBlasters Soruşturması - Oyuncuların Menfaatinden Öte Kâr

Önemli Bulgu

[REDACTED] alenen yalan söylüyor, suçluları koruyor ve soruşturmayı engelliyor.

Giriş: Kasıtlı İhmal Suçu

Ağustos 2025’te, dünyanın en büyük oyun platformu olan [REDACTED], sadece bir güvenlik ihlaline maruz kalmakla kalmadı; aynı zamanda böyle bir ihlali aktif olarak mümkün kıldı. Bir dizi sistemik arıza ve ağır ihmal sonucu, Valve oyunun BlockBlasters (AppID 3872350), yıkıcı bir kötü amaçlı yazılım kampanyasının bir Truva atı haline geldi. Bu, sofistike ya da kaçınılmaz bir saldırı değildi. [REDACTED]’in güvenliğinin temelden çökmüş olması nedeniyle başarılı olan, ders kitabına uygun bir veri hırsızlığı operasyonuydu. 22 gün boyunca, Valve hiçbir önlem almazken bu uygulama yüz binlerce dolar çaldı, kripto cüzdanlarını boşalttı ve kullanıcı hesaplarını ele geçirdi.

Gerçek ortaya çıktığında, Valve’in tepkisi kullanıcılarını korumak değil, kendi imajını korumak oldu. Şirket, suçu başka bir yere atmak ve sorumluluktan kaçmak amacıyla uydurulmuş acınası bir yalan olan “güvenliği ihlal edilmiş bir geliştirici hesabı”nı suçlayan tek bir aldatıcı açıklama yayınladı. Bu makale, o yalanı çürütecektir. Adli veriler, zaman çizelgesi analizi ve Valve’in kendi politikalarını kullanarak, bu olayın sadece harekete geçmeme değil, kasıtlı bir şekilde suç teşkil eden ihmali örtbas etme girişimi olduğunu kanıtlayacağız.

Kurumsal ihmal zaman çizelgesi: 1. gün kötü amaçlı yazılım yayınlandı, 3. gün ilk bildirimler geldi, 3. gün çok sayıda uyarı alındı, 10. gün hiçbir önlem alınmadı ve 1.489.500 kurban maruz kaldı, 22. gün sonunda kaldırıldı
Kurumsal ihmal zaman çizelgesi: 1. gün kötü amaçlı yazılım yayınlandı, 3. gün ilk bildirimler geldi, 3. gün çok sayıda uyarı alındı, 10. gün hiçbir önlem alınmadı ve 1.489.500 kurban maruz kaldı, 22. gün sonunda kaldırıldı

Açığa Çıkan Kimlik

[REDACTED], kötü amaçlı uygulamanın arkasındaki doğrulanmış geliştirici olan Valentin Lopes’i açıkça gizleyip yalan söylüyor.

22 Günlük Eylemsizlik Süreci

Valve’in bunu durdurmak için 22 günü vardı. Kullanıcı şikayetleri arka arkaya geliyordu ve platform verileri, sorun olduğuna dair açık işaretler gösteriyordu. Sessiz kalmaları bir tercihti.

31 Temmuz 2025

BlockBlasters piyasaya sürüldü. Temiz ve geçerli bir sürüm, [REDACTED]’in inceleme sürecinden geçti.

30 Ağustos 2025

Tuzak kuruldu. Saldırganlar, Patch Build 19799326 sürümünü yayıyor. Kötü amaçlı yazılım yükünü içeren bu güncelleme, [REDACTED] tarafından onaylanıyor ve tüm oyunculara dağıtılıyor.

2025 yılının Eylül ayı başı

İlk mağdurlar alarm çaldı. Kullanıcılar, anormal CPU kullanımı, şüpheli ağ trafiği ve en önemlisi çalınan kripto para birimini bildiren destek talepleriyle [REDACTED] Destek’i adeta sel bastı. Bu talepler, Valve tarafından görmezden gelinerek bir kara deliğe düştü.

6 Eylül 2025'te 12

Veriler açıkça bir uyarı veriyor. SteamDB’nin halka açık telemetri verileri, oyuncu sayısının tek haneli rakamlara düştüğünü gösteriyor; ancak oyun hâlâ yüzlerce bilgisayarda yüklü durumda ve sessizce veri sızdırmaya devam ediyor. Bu büyük tutarsızlık, yetkin herhangi bir izleme sisteminin farkına varması gereken bir tehlike işaretidir.

21 Eylül 2025

Topluluk harekete geçiyor. Bağımsız güvenlik araştırmacıları, kötü amaçlı yazılımın [REDACTED] tabanlı komuta ve kontrol altyapısını ortaya çıkararak hackerları köşeye sıkıştırıyor.

22 Eylül 2025

Kanıt yadsınamaz. G [REDACTED], kötü amaçlı yazılımın çok aşamalı saldırı vektörünü doğrulayan ve sızıntının teknik ayrıntılarını ortaya koyan kapsamlı bir adli inceleme raporu yayınladı.

Saldırının Anatomisi

Bu, son teknoloji bir kötü amaçlı yazılım değildi. Yaygın olarak kullanılan komut dosyaları ve bilgi hırsızlığı yazılımlarından oluşan, kaba ama etkili bir karışımdı; milyarlarca dolarlık bir platformun bunu tespit etmesi çocuk oyuncağı olmalıydı.

1. Aşama: İlk Güvenlik İhlali (game2.bat)

İlk yük, basit bir toplu iş komut dosyasıydı ve temel keşif faaliyetleri gerçekleştirdi: IP adresleri, coğrafi konum bilgileri ve [REDACTED] kullanıcı bilgilerini topladı. Ardından, şifre korumalı bir ZIP dosyası (v1.zip) indirdi; bu, basit otomatik tarayıcıları atlatmak için kullanılan klasik bir tekniktir.

2. Aşama: Kaçınma ve Tırmanma (VBS Yükleyicileri)

Kötü amaçlı yazılım, VBS komut dosyalarını kullanarak temel bileşenlerini gizli komut pencerelerinde çalıştırdı. Kendi dizinini Microsoft Defender’ın hariç tutma listesine ekledi; bu eylem, izlenen herhangi bir sistemde derhal yüksek öncelikli bir uyarıyı tetiklemesi gereken bir işlemdir.

3. Aşama: Veri Hırsızlığı (Client-built2.exe ve Block1.exe)

Savunma mekanizmaları devre dışı bırakıldıktan sonra, kötü amaçlı yazılım ana yüklerini devreye soktu: kalıcı erişim için Python tabanlı bir arka kapı ve StealC bilgi hırsızının bir varyantı. Bu yazılım, Chrome, Edge ve Brave tarayıcılarındaki tarayıcı verilerini, oturum belirteçlerini ve en önemlisi kripto para cüzdanlarını hedef aldı. Çalınan tüm veriler, güvenli olmayan HTTP trafiği üzerinden iki komuta ve kontrol sunucusuna aktarıldı. Kripto varlıklarını boşaltan bu kötü amaçlı yazılımın IOC’leri, [REDACTED]’in organize hırsızlık operasyonları için bir dağıtım vektörü olduğunu doğruladı.

İhanete Uğrayan Güven

Tam da onların güvenilirlik algısı ve dikkatsizlikleri, örtbas ettikleri düzinelerce hırsızlık olayına yol açtı. Bu durum, platforma duyulan güveni büyük ölçekte istismar eden, ders kitabı niteliğinde bir tedarik zinciri saldırısını temsil ediyor.

Güvenlik İhlali Göstergeleri (IOC'ler)

DosyaSHA256Sınıflandırma
game2.bat aa1a1328e0d0042d071bca13ff9a13116d8f3cf77e6e9769293e2b144c9b73b3 BAT.Trojan-Stealer.StimBlaster.F
launch1.vbs c3404f768f436924e954e48d35c27a9d44c02b7a346096929a1b26a1693b20b3 Script.Malware.BatchRunner.A@IOC
test.vbs b2f84d595e8abf3b7aa744c737cacc2cc34c9afd6e7167e55369161bc5372a9b Script.Malware.BatchRunner.A@IOC
Client-built2.exe 17c3d4c216b2cde74b143bfc2f0c73279f2a007f627e3a764036baf272b4971a Win64.Backdoor.StimBlaster.L6WGC3
Block1.exe59f80ca5386ed29eda3efb01a92fa31fb7b73168e84456ac06f88fdb4cd82e9eWin32.Trojan-Stealer.StealC.RSZPXF

Yalanın Çözümlenmesi: “Hacklenen Hesap” Tamamen Saçmalık

Gizleme Girişimi Ortaya Çıktı

[REDACTED], kurbanlara destek olur ve onlara yardım ederken, şirketi ise geliştiricileri denetler ve içeriklerine en yüksek güven sertifikasını verir.

Valve’in “hacklenen geliştirici” bahanesini olduğu gibi adlandıralım: acınası ve kolayca çürütülebilen bir yalan. Bu, kullanıcı kitlesinin zekasına bir hakarettir; kendi ihmallerinin sonuçlarından kendilerini korumak için uydurulmuş bir hikâye. [REDACTED]’in kendi zorunlu prosedürlerine baktığınız anda bu hayali hikâye tamamen çöküyor.

  • 100 Dolarlık Engelleme ve Kimlik Doğrulama: [REDACTED]’de yayın yapabilmek için her geliştiricinin [REDACTED] Direct programından geçmesi gerekir. Bu süreç, 100 dolarlık bir ücretin ödenmesini ve “Müşterini Tanı” (KYC) sürecinin tamamlanmasını; yasal isimlerin, banka bilgilerinin ve vergi belgelerinin sunulmasını gerektirir. Suçlu, kimliği bilinmeyen bir hayalet değildi; Valve, onun doğrulanmış kimliğini ve mali bilgilerini kayıtlarında bulunduruyordu. Bu durum, Valve’in harekete geçmemesini, kendi kullanıcıları yerine doğrulanmış bir ortağı korumak için bilinçli bir tercih haline getiriyor.
  • 22 Günlük Elektrik Kesintisi Efsanesi: Steamworks, geliştiricilere hesaplarının güvenliğini sağlamak için sağlam araçlar sunar. Kontrolünü kaybeden meşru bir geliştirici, “yayıncı kimlik bilgilerine erişim kaybı” başlıklı bir destek talebi açabilir. Bu süreç hızlı bir şekilde işleyecek şekilde tasarlanmıştır; yayın hakları ve derlemeler haftalar değil, saatler içinde dondurulur. Bir geliştiricinin, oyunu kötü amaçlı yazılım yayarken 20 günden fazla bir süre boyunca erişimden mahrum bırakılabileceği düşüncesi saçmadır. Bu, her ikisi de Valve’i suçlayan iki senaryodan birini ima eder: ya geliştirici bu duruma suç ortağıydı ya da Valve, düzinelerce kullanıcı şikayetinin yanı sıra geliştiricinin çaresizce gönderdiği destek biletlerini de görmezden geldi.
  • Kullanıcı Şikayetlerinin Sistematik Olarak Göz Ardı Edilmesi: Onlarca kullanıcı, mali hırsızlık, kötü amaçlı yazılım faaliyetleri ve hesap ele geçirilmesi konusunda ayrıntılı raporlar sundu. Bunlar belirsiz şikayetler değildi; eyleme geçirilebilir istihbarattı. Yetkin bir destek sistemi bunları tespit eder, sorunu üst mercilere iletir ve soruşturma sonuçlanana kadar 24 saat içinde uygulama sayfasını dondururdu. Valve'ın bunu 22 gün boyunca yapmaması bir ihmal değil; kasıtlı bir görmezden gelme politikasıdır.

Temel Aldatmaca: Dijital Suç Mahallinde Kanıtların Tahrif Edilmesi

İşte burada Valve’in örtbas çabası, basit bir ihmalden, ancak şu şekilde tanımlanabilecek bir duruma dönüşüyor: dijital suç mahalline müdahale etmek. Şunu açıkça belirtelim: Valve, virüs bulaşmış oyunu kaldırmadı.

C2 altyapısını izleyen güvenlik araştırmacılarının adli kanıtları ve analizleri bunu kesin olarak doğruluyor: Suçlular, [REDACTED] sunucularındaki zararlı yazılım sürümlerini kendileri sildiler. Bunu, [REDACTED] kontrol grubu kamuoyuna ifşa edildikten sonra, 21 Eylül’de yaptılar. İzlerini örtbas etmek için kanıtları yok ederek “yakıp yıkma” taktiğiyle çekildiler.

Dijital suç mahalline müdahale - THE ENABLERS REGISTRY, büyüteçle inceleme yaparken, [REDACTED]/Valve’in eli “geçmeyin” şeridini aşarak uzanıyor
Dijital suç mahalline müdahale - THE ENABLERS REGISTRY, büyüteçle inceleme yaparken, [REDACTED]/Valve’in eli “geçmeyin” şeridini aşarak uzanıyor

Valve’in önlem aldığına dair iddiası apaçık bir uydurmadır. Saldırganların kendi izlerini silmelerini bekleyip ancak ondan sonra mağaza sayfasını kaldırmak için harekete geçen Valve, aslında başlıca delillerin yok edilmesine izin vermiştir. Bu bir hasar kontrolü değildi; bir engellemeydi. Kullanıcıları korumuyorlardı; suç mahallini temizleyerek kendilerini koruyorlardı.

Şirketlerin Kayıtsızlığının İnsani Bedeli

Valve’in ihmali, gerçek hayatta bazı sonuçlara yol açtı; ancak şirket bu konuda hiçbir sorumluluk üstlenmedi.

  • Mali Çöküş: 150.000 ABD dolarından fazla para çalındı (görünüşe göre 1.000.000 ABD dolarından fazla). Birçok kişi için bu, hayatlarını kökünden değiştirecek bir meblağdı. Bir yayıncı, kanser tedavisi için düzenlediği canlı bir yardım yayını sırasında 32.000 ABD doları kaybetti.
  • Güvenin İhaneti: Yüzlerce kullanıcının hesabı ele geçirildi, verileri çalındı ve sistemleri virüs bulaştı.
  • Mutlak Sessizlik: Bugüne kadar Valve ne para iadesi ne de tazminat sundu; samimi bir özür de dilemedi. Standart şablon mektupla verdikleri yanıt, her mağdura bir hakaret niteliğindeydi.

Gerekçe: İnsanlardan Önemli Olan Kâr

Valve neden böyle bir şeyin olmasına izin versin ki? Bunun ardındaki neden, alaycı olduğu kadar basit: daha ucuzdu.

Tüm derlemeler için sanal ortamda testlerin uygulanması, geliştirici kimlik bilgilerinin ayrılması, yetkin bir güvenlik ekibinin işe alınması ve şeffaflık raporlarının yayınlanması gibi gerçek bir güvenlik revizyonu milyonlarca dolara mal olur. Mağdurlara tazminat ödenmesi ise maliyetli bir emsal teşkil eder.

Alternatif neydi? Belirsiz ve yanıltıcı bir açıklama yayınlamak, haber gündeminin başka konulara kaymasını beklemek ve halkla ilişkiler açısından en az zararı üstlenmek. Bu, kullanıcı güvenliğinin kabul edilebilir bir kayıp olarak değerlendirildiği, hesaplanmış bir iş kararıydı.

Bu ihmal eğilimi yeni bir şey değil. PirateFi (2024) olayından Chemia (2025) olayına kadar, Valve uyarıları defalarca görmezden geldi ve kötü amaçlı yazılımların platformuna girmesine izin verdi; ancak kamuoyunun tepkisi üzerine harekete geçti. BlockBlasters bir istisna değildi; bu, çürümüş bir güvenlik kültürünün kaçınılmaz sonucuydu.

Nihai Karar: Suçlamalar Doğrulandı

Gerçekler kendi adına konuşsun.

  • Gerçek: Valve’in otomatik sistemleri, önemsiz bir kötü amaçlı yazılım içeren bir sürümü onayladı.
  • Gerçek: Valve’in destek ekibi, mağdurların doğrudan uyarılarını üç hafta boyunca görmezden geldi.
  • Gerçek: Valve, ancak hackerlar kötü amaçlı dosyaları kendileri sildikten sonra harekete geçti.
  • Gerçek: Valve’in resmi açıklaması, sorumluluktan kaçınmak amacıyla olayları kasten çarpıtan bir açıklamaydı.

Valve sadece başarısız olmakla kalmadı. Yalan söyledi. Kendi ihmalkarlığını örtbas etti, kârını korudu ve bedelini kullanıcılarına ödetmeye bıraktı. Topluluğun [REDACTED]’e duyduğu güven geri dönülmez bir şekilde sarsıldı. Bu bir hata değildi; bir ihanetti.

Continue browsing the ledger

This page is the editorial mirror. Brand names are redacted to public IANA / business identifiers. Use the index to navigate other case files.

Open registrar ledger → All briefings