Ο ερευνητής ασφαλείας Artem Moskowsky βρήκε ένα σφάλμα Steam που του έδωσε πρόσβαση σε άπειρα δωρεάν κλειδιά οποιοδήποτε παιχνίδι στην πλατφόρμα ψηφιακής διανομής, αλλά αντί να κάνει κατάχρηση του exploit, το ανέφερε Βαλβίδα για ανταμοιβή 20.000 $.
Ο Μοσκόφσκι είπε στο The Register ότι κατά λάθος ανακαλύφθηκε την ευπάθεια κατά την περιήγηση στην πύλη συνεργατών Steam, η οποία είναι ο ιστότοπος όπου οι προγραμματιστές διαχειρίζονται παιχνίδια που μπορούν να ληφθούν στην πλατφόρμα. Ο ερευνητής ασφάλειας, ο οποίος έχει κάνει καριέρα ως κυνηγός σφαλμάτων, παρατήρησε ότι ήταν εύκολο να αλλάξει τις παραμέτρους ενός αιτήματος API, το οποίο του έδινε κλειδιά ενεργοποίησης για ορισμένα παιχνίδια.
Προτεινόμενα βίντεο
Το API επιτρέπει στους προγραμματιστές να αποκτούν κλειδιά άδειας για τα παιχνίδια τους, τα οποία στη συνέχεια μπορούν να μεταβιβάσουν στους παίκτες. Ωστόσο, όπως τόνισε ο Moskowsky, θα μπορούσε να είχε γίνει κατάχρηση από έναν εισβολέα που έχει πρόσβαση στην πύλη συνεργατών Steam για να δημιουργήσει έναν άπειρο αριθμό κλειδιών ενεργοποίησης για οποιοδήποτε παιχνίδι στο
Ατμός. Είναι επίσης πολύ εύκολο να υποδυθείς ως προγραμματιστής για να αποκτήσεις πρόσβαση στην πύλη συνεργατών, επομένως σχεδόν οποιοσδήποτε θα μπορούσε να έχει εκμεταλλευτεί την ευπάθεια.Σχετίζεται με
- Δοκιμάστε αυτά τα 6 εξαιρετικά, δωρεάν demo παιχνιδιών υπολογιστή κατά τη διάρκεια του Steam Next Fest
- Γιατί πούλησα το gaming laptop μου για να αγοράσω Steam Deck
- Steam Deck vs. cloud gaming: Πώς συγκρίνονται;
Ο Moskowsky είπε ότι εισήγαγε μια τυχαία συμβολοσειρά στο αίτημα API για να ελέγξει τη σοβαρότητα του σφάλματος. Στη συνέχεια έλαβε 36.000 κλειδιά ενεργοποίησης για Πύλη 2, το οποίο πωλείται στα 10 $ στο Steam, για συνολική αξία περίπου 360.000 $ σε μία μόνο εντολή.
Το σφάλμα Steam έχει πλέον παρουσιαστεί έχει καταγραφεί στον ιστότοπο επιχορήγησης σφαλμάτων HackerOne, όπου φαίνεται ότι ο Moskowsky ανέφερε το exploit στη Valve στις 7 Αυγούστου. Η Valve χρειάστηκε μόνο λίγες μέρες για να επιδιορθώσει την ευπάθεια και να απονείμει στον Moskowsky ένα μπόνους 15.000 $ και ένα μπόνους 5.000 $.
Η Valve είναι τυχερή που το exploit ανακάλυψε ένας έντιμος χάκερ όπως ο Moskowsky. Η ανταμοιβή των 20.000 $ για τον Moskowsky είναι ελάχιστη σε σύγκριση με τις πιθανές απώλειες που θα είχε το Steam υπέστη αν το σφάλμα χρησιμοποιήθηκε ευρέως από πειρατές για να αρπάξουν δωρεάν κλειδιά ενεργοποίησης για κάθε παιχνίδι στο πλατφόρμα.
Είναι εντυπωσιακό ότι αυτό δεν είναι το μεγαλύτερο μπόνους που έχει λάβει ο Moskowsky από τη Valve. Τον Ιούλιο, ο ερευνητής ασφάλειας βραβεύτηκε με 25.000 $ για την αναφορά ενός σφάλματος έγχυσης SQL, το οποίο ανακαλύφθηκε επίσης στην πύλη συνεργατών Steam.
Συστάσεις των συντακτών
- Μπορείτε να αποκτήσετε ένα Steam Deck με έκπτωση 20% αυτή τη στιγμή κατά τη διάρκεια των καλοκαιρινών εκπτώσεων Steam
- Η ενημερωμένη εφαρμογή Steam για κινητά σάς επιτρέπει να κατεβάζετε παιχνίδια από το τηλέφωνό σας
- Έχετε προπαραγγείλει Steam Deck; Εδώ είναι τα πρώτα παιχνίδια Deck Verified που πρέπει να παίξετε
- Ένα νέο spinoff παιχνίδι Portal έρχεται στο Steam Deck
- 3 λόγοι για τους οποίους το Steam Deck είναι το απόλυτο gaming handheld
Αναβαθμίστε τον τρόπο ζωής σαςΤο Digital Trends βοηθά τους αναγνώστες να παρακολουθούν τον γρήγορο κόσμο της τεχνολογίας με όλα τα τελευταία νέα, διασκεδαστικές κριτικές προϊόντων, διορατικά editorial και μοναδικές κρυφές ματιές.
