اكتشف الباحث الأمني Artem Moskowsky ثغرة في Steam أتاحت له الوصول إلى مفاتيح مجانية لا حصر لها أي لعبة على منصة التوزيع الرقمي، ولكن بدلاً من إساءة استخدام الثغرة، أبلغ عنها صمام مقابل مكافأة قدرها 20 ألف دولار.
قال موسكوفسكي لصحيفة The Register إنه حدث ذلك عن طريق الخطأ اكتشف الثغرة الأمنية أثناء التصفح عبر بوابة شريك Steam، وهو موقع الويب الذي يدير فيه المطورون الألعاب التي يمكن تنزيلها على النظام الأساسي. لاحظ الباحث الأمني، الذي عمل كصياد أخطاء، أنه كان من السهل تغيير معلمات طلب واجهة برمجة التطبيقات (API)، مما منحه مفاتيح التنشيط لألعاب معينة.
مقاطع الفيديو الموصى بها
تسمح واجهة برمجة التطبيقات (API) للمطورين بالحصول على مفاتيح الترخيص لألعابهم، والتي يمكنهم بعد ذلك نقلها إلى اللاعبين. ومع ذلك، كما أشار موسكوفسكي، فمن الممكن أن يتم إساءة استخدام هذه الميزة من قبل مهاجم لديه حق الوصول إلى بوابة شريك Steam لإنشاء عدد لا نهائي من مفاتيح التنشيط لأي لعبة على بخار. ومن السهل جدًا أيضًا أن تتظاهر بأنك مطور للوصول إلى بوابة الشريك، لذلك يمكن لأي شخص عمليًا الاستفادة من الثغرة الأمنية.
متعلق ب
- جرب هذه العروض التوضيحية الستة الممتازة والمجانية لألعاب الكمبيوتر أثناء Steam Next Fest
- لماذا قمت ببيع جهاز الكمبيوتر المحمول المخصص للألعاب لشراء جهاز Steam Deck
- سطح البخار مقابل. الألعاب السحابية: كيف يمكن مقارنتها؟
قال موسكوفسكي إنه أدخل سلسلة عشوائية في طلب واجهة برمجة التطبيقات (API) للتحقق من خطورة الخطأ. ثم حصل على 36000 مفتاح تفعيل لـ البوابة 2، والتي يتم بيعها بسعر 10 دولارات على Steam، بقيمة إجمالية تبلغ حوالي 360 ألف دولار في أمر واحد فقط.
لقد أصبح خطأ Steam الآن مسجل على موقع مكافأة الأخطاء HackerOne، حيث يمكن ملاحظة أن موسكووسكي أبلغ Valve بالاستغلال في 7 أغسطس. استغرقت شركة Valve بضعة أيام فقط لإصلاح الثغرة الأمنية، ومنح موسكوفسكي مكافأة قدرها 15000 دولار ومكافأة قدرها 5000 دولار.
إن شركة Valve محظوظة لأن الاستغلال تم اكتشافه بواسطة متسلل نزيه مثل موسكوفسكي. تعتبر المكافأة البالغة 20 ألف دولار لموسكوفسكي ضئيلة مقارنة بالخسائر المحتملة التي قد تتكبدها شركة Steam عانت إذا تم استخدام الخطأ على نطاق واسع من قبل القراصنة للحصول على مفاتيح التنشيط المجانية لكل لعبة على منصة.
ومن المثير للإعجاب أن هذه ليست أكبر مكافأة حصل عليها موسكوفسكي من Valve. وفي شهر يوليو، حصل الباحث الأمني على جائزة قدرها 25000 دولار للإبلاغ عن خطأ في حقن SQL، والذي تم اكتشافه أيضًا على بوابة شركاء Steam.
توصيات المحررين
- يمكنك الحصول على Steam Deck بخصم 20% الآن خلال تخفيضات Steam الصيفية
- يتيح لك تطبيق Steam للهاتف المحمول المحدث تنزيل الألعاب من هاتفك
- تم طلبه مسبقًا لـ Steam Deck؟ إليك أول ألعاب Deck Verified التي يجب أن تلعبها
- هناك لعبة فرعية جديدة من Portal قادمة إلى Steam Deck
- 3 أسباب تجعل جهاز Steam Deck هو أفضل جهاز محمول للألعاب
ترقية نمط حياتكتساعد الاتجاهات الرقمية القراء على متابعة عالم التكنولوجيا سريع الخطى من خلال أحدث الأخبار ومراجعات المنتجات الممتعة والمقالات الافتتاحية الثاقبة ونظرات خاطفة فريدة من نوعها.
