Bezpečnostní výzkumník Artem Moskowsky našel chybu Steamu, která mu umožnila přístup k nekonečným volným klíčům jakoukoli hru na platformě digitální distribuce, ale místo toho, aby zneužití zneužil, nahlásil to Ventil za odměnu 20 000 dolarů.
Moskowsky řekl The Register, že náhodou objevil zranitelnost při procházení partnerským portálem Steam, což je web, na kterém vývojáři spravují hry, které lze na platformě stáhnout. Bezpečnostní výzkumník, který udělal kariéru jako lovec chyb, si všiml, že bylo snadné změnit parametry požadavku API, což mu poskytlo aktivační klíče pro určité hry.
Doporučená videa
API umožňuje vývojářům získat licenční klíče pro své hry, které pak mohou předávat hráčům. Jak však upozornil Moskowsky, mohl to být zneužit útočníkem, který má přístup na partnerský portál Steam, aby vygeneroval nekonečné množství aktivačních klíčů pro jakoukoli hru na Parní. Je také docela snadné vydávat se za vývojáře a získat přístup k partnerskému portálu, takže zranitelnosti mohl využít prakticky kdokoli.
Příbuzný
- Vyzkoušejte těchto 6 vynikajících bezplatných ukázek počítačových her během Steam Next Festu
- Proč jsem prodal svůj herní notebook, abych si koupil Steam Deck
- Steam Deck vs. cloudové hry: Jak se srovnávají?
Moskowsky řekl, že do požadavku API zadal náhodný řetězec, aby zkontroloval závažnost chyby. Poté obdržel 36 000 aktivačních klíčů pro Portál 2, který se na Steamu prodává za 10 $, v celkové hodnotě asi 360 000 $ jediným příkazem.
Chyba na Steamu se nyní objevila zaznamenané na bug bounty webu HackerOne, kde je vidět, že Moskowsky nahlásil exploit společnosti Valve 7. srpna. Valve trvalo jen pár dní, než tuto zranitelnost opravilo a udělilo Moskowskému odměnu 15 000 $ a bonus 5 000 $.
Valve má štěstí, že exploit objevil poctivý hacker jako Moskowsky. Odměna 20 000 dolarů pro Moskowského je nepatrná ve srovnání s možnými ztrátami, které by Steam utrpěl utrpěla, pokud byla chyba široce používána piráty k získání bezplatných aktivačních klíčů pro každou hru na serveru plošina.
Působivé je, že to není největší odměna, kterou Moskowsky od Valve obdržel. V červenci byl bezpečnostní výzkumník oceněn 25 000 $ za nahlášení chyby SQL injection, která byla také objevena na partnerském portálu Steam.
Doporučení redakce
- Právě teď během letního výprodeje Steam můžete získat balíček Steam Deck se slevou 20 %.
- Aktualizovaná mobilní aplikace Steam umožňuje stahovat hry z telefonu
- Předobjednali jste si Steam Deck? Zde jsou první Deck Verified hry, které byste měli hrát
- Na Steam Deck přichází nová hra Portal spinoff
- 3 důvody, proč je Steam Deck tím nejlepším herním handheldem
Upgradujte svůj životní stylDigitální trendy pomáhají čtenářům mít přehled o rychle se měnícím světě technologií se všemi nejnovějšími zprávami, zábavnými recenzemi produktů, zasvěcenými úvodníky a jedinečnými náhledy.
