Sikkerhedsforsker Artem Moskowsky fandt en Steam-fejl, der gav ham adgang til uendelige gratis nøgler til ethvert spil på den digitale distributionsplatform, men i stedet for at misbruge udnyttelsen, rapporterede han det til Ventil for en belønning på $20.000.
Moskowsky fortalte The Register, at han ved et uheld opdaget sårbarheden under browsing gennem Steam-partnerportalen, som er hjemmesiden, hvor udviklere administrerer spil, der kan downloades på platformen. Sikkerhedsforskeren, der har gjort karriere som fejljæger, bemærkede, at det var nemt at ændre parametrene for en API-anmodning, hvilket gav ham aktiveringsnøgler til visse spil.
Anbefalede videoer
API'en giver udviklere mulighed for at erhverve licensnøgler til deres spil, som de derefter kan videregive til spillere. Men som Moskowsky påpegede, kunne det være blevet misbrugt af en angriber, der har adgang til Steam-partnerportalen til at generere et uendeligt antal aktiveringsnøgler til ethvert spil på Damp. Det er også ret nemt at udgive sig som udvikler for at få adgang til partnerportalen, så praktisk talt alle kunne have draget fordel af sårbarheden.
Relaterede
- Prøv disse 6 fremragende, gratis pc-spildemoer under Steam Next Fest
- Hvorfor jeg solgte min gaming bærbare computer for at købe en Steam Deck
- Steam Deck vs. skyspil: Hvordan sammenligner de sig?
Moskowsky sagde, at han indtastede en tilfældig streng i API-anmodningen for at kontrollere alvoren af fejlen. Han modtog derefter 36.000 aktiveringsnøgler for Portal 2, som sælges for $10 på Steam, til en samlet værdi af omkring $360.000 på kun én kommando.
Steam-fejlen har nu været optaget på bug bounty-hjemmesiden HackerOne, hvor det kan ses, at Moskowsky rapporterede udnyttelsen til Valve den 7. august. Valve tog kun et par dage at rette op på sårbarheden og tildele Moskowsky en dusør på $15.000 og en bonus på $5.000.
Valve er heldig, at udnyttelsen blev opdaget af en ærlig hacker som Moskowsky. Belønningen på $20.000 til Moskowsky er minimal sammenlignet med de mulige tab, som Steam ville have lidt, hvis fejlen blev meget brugt af pirater til at få fat i gratis aktiveringsnøgler til hvert spil på platform.
Imponerende nok er dette ikke den største dusør, som Moskowsky har modtaget fra Valve. I juli blev sikkerhedsforskeren tildelt $25.000 for at rapportere en SQL-indsprøjtningsfejl, som også blev opdaget på Steam-partnerportalen.
Redaktørens anbefalinger
- Du kan få et Steam Deck med 20 % rabat lige nu under Steam Summer Sale
- Opdateret Steam-mobilapp giver dig mulighed for at downloade spil fra din telefon
- Forudbestilt et Steam Deck? Her er de første Deck Verified-spil, du bør spille
- Et nyt portal-spinoff-spil kommer til Steam Deck
- 3 grunde til, at Steam Deck er den ultimative gaming håndholdte
Opgrader din livsstilDigital Trends hjælper læserne med at holde styr på den hurtige teknologiske verden med alle de seneste nyheder, sjove produktanmeldelser, indsigtsfulde redaktionelle artikler og enestående smugkig.
