Un analista di Dota 2, noto come degaz su Spectral.gg, ha rivelato l’esistenza di un sito web cinese che forniva accesso a informazioni riservate sugli allenamenti di squadre e giocatori professionisti. Informata del problema, Valve è intervenuta per correggere la falla nel sistema API del gioco.
La vicenda ricorda da vicino lo scandalo del 2017, il cosiddetto “Rurugate”, quando team cinesi come LGD e EHOME furono accusati di sfruttare una chiave API di Perfect World per spiare allenamenti e partite private di altri giocatori. All’epoca, si scoprì che l’accesso API poteva estendersi ben oltre, potenzialmente fino al controllo completo degli account Steam.
Sembra che la storia si sia ripetuta. Recentemente, è stato segnalato un sito capace di rivelare l’MMR preciso dei giocatori, a qualsiasi livello, e di mostrare ogni partita, anche quelle private di profili a basso MMR. Dietro al sito ci sarebbe una figura legata in passato a Keen, la stessa organizzazione di EHOME.
Un gruppo di esperti della scena Dota 2, tra cui Boskey, Leamare, sikle, NoraD, Noxville e altri rimasti anonimi, si è mobilitato per analizzare la situazione. La conclusione è stata che la causa più probabile fosse una nuova fuga di chiavi API. Di conseguenza, è stata inviata una lettera collettiva a Valve, esponendo la situazione e la preoccupazione per la potenziale minaccia all’integrità competitiva del gioco.
Valve ha reagito prontamente, individuando e bloccando la chiave API compromessa, chiudendo l’accesso al metodo di spionaggio. Questo episodio serve da monito per gli sviluppatori sull’importanza di monitorare costantemente la sicurezza e l’utilizzo delle proprie chiavi API. Nonostante la gravità della situazione, non ci sono prove dirette dell’utilizzo di questi dati per avvantaggiare specifiche squadre. Tuttavia, l’intera vicenda solleva ulteriori preoccupazioni sullo stato di salute della scena competitiva cinese di Dota 2.
Già nel 2016, il manager dell’organizzazione esports LGD Gaming, Pan “RuRu” Jie, era stato accusato di utilizzare chiavi API di Dota 2 per ottenere dati privati dagli allenamenti di altre squadre. Si sospettava che RuRu fornisse queste informazioni ai suoi team fin dal 2013, garantendo loro un vantaggio sleale.