Изследователят по сигурността Артем Московски откри грешка в Steam, която му даде достъп до безкрайни безплатни ключове за която и да е игра на платформата за дигитално разпространение, но вместо да злоупотребява с експлойта, той го докладва на Клапан за награда от $20 000.
Московски каза пред The Register, че случайно открити уязвимостта, докато сърфирате през партньорския портал на Steam, който е уебсайтът, където разработчиците управляват игри, които могат да бъдат изтеглени на платформата. Изследователят по сигурността, който направи кариера като ловец на грешки, забеляза, че е лесно да промени параметрите на заявка за API, която му дава ключове за активиране за определени игри.
Препоръчани видеоклипове
API позволява на разработчиците да придобиват лицензни ключове за своите игри, които след това могат да предадат на геймърите. Въпреки това, както Московски посочи, може да е било злоупотребено от нападател, който има достъп до партньорския портал на Steam, за да генерира безкраен брой ключове за активиране за всяка игра на
Пара. Също така е доста лесно да се представите за разработчик, за да получите достъп до партньорския портал, така че на практика всеки би могъл да се възползва от уязвимостта.Свързани
- Опитайте тези 6 отлични безплатни демонстрации на компютърни игри по време на Steam Next Fest
- Защо продадох лаптопа си за игри, за да купя Steam Deck
- Steam Deck срещу. облачни игри: Как се сравняват?
Московски каза, че е въвел произволен низ в заявката за API, за да провери сериозността на грешката. След това той получи 36 000 ключа за активиране за Портал 2, който се продава за $10 в Steam, на обща стойност от около $360 000 само с една команда.
Грешката в Steam вече е налице записано на уебсайта за награди за грешки HackerOne, където може да се види, че Moskowsky е докладвал за експлойта на Valve на 7 август. Valve отне само няколко дни, за да поправи уязвимостта и да награди Moskowsky с $15 000 награда и $5 000 бонус.
Valve има късмет, че експлойтът е открит от честен хакер като Moskowsky. Наградата от $20 000 за Moskowsky е нищожна в сравнение с възможните загуби, които Steam би имал пострада, ако грешката е била широко използвана от пирати, за да вземат безплатни ключове за активиране за всяка игра на платформа.
Впечатляващо, това не е най-голямата премия, която Moskowsky е получил от Valve. През юли изследователят по сигурността получи 25 000 долара за докладване на грешка при инжектиране на SQL, която също беше открита на партньорския портал на Steam.
Препоръки на редакторите
- Можете да получите Steam Deck с 20% отстъпка точно сега по време на лятната разпродажба на Steam
- Актуализираното мобилно приложение Steam ви позволява да изтегляте игри от телефона си
- Поръчахте предварително Steam Deck? Ето първите игри с Deck Verified, които трябва да играете
- Нова игра на Portal spinoff идва в Steam Deck
- 3 причини, поради които Steam Deck е най-доброто устройство за игри
Надградете начина си на животDigital Trends помага на читателите да следят забързания свят на технологиите с всички най-нови новини, забавни ревюта на продукти, проницателни редакционни статии и единствени по рода си кратки погледи.
