Valve Awards Häckerile 20 000 dollarit Steam Bug Discovery eest

Turvauurija Artem Moskowsky leidis Steami vea, mis andis talle juurdepääsu lõpmatutele tasuta võtmetele mis tahes mängu digitaalsel levitamisplatvormil, kuid selle ärakasutamise asemel teatas ta sellest Klapp 20 000 dollari suuruse preemia eest.

Moskowsky ütles The Registerile, et ta kogemata avastatud haavatavus Steami partnerportaali sirvimisel, mis on veebisait, kus arendajad haldavad mänge, mida võidakse platvormil alla laadida. Vigakütina karjääri teinud turvateadlane märkas, et API päringu parameetreid oli lihtne muuta, mis andis talle teatud mängude aktiveerimisvõtmed.

Soovitatavad videod

API võimaldab arendajatel hankida oma mängude jaoks litsentsivõtmeid, mida nad saavad seejärel mängijatele edasi anda. Kuid nagu Moskowsky märkis, võis seda kuritarvitada ründaja, kellel on juurdepääs Steami partnerportaalile, et luua lõpmatu arv aktiveerimisvõtmeid mis tahes mängu jaoks. Steam. Samuti on partnerportaalile juurdepääsu saamiseks üsna lihtne esineda arendajana, nii et praktiliselt igaüks oleks võinud haavatavust ära kasutada.

Seotud

  • Proovige neid 6 suurepärast tasuta arvutimängu demot Steam Next Festi ajal
  • Miks ma müüsin oma mängusülearvuti, et osta Steam Deck?
  • Steam Deck vs. pilvemängud: kuidas neid võrrelda?

Moskowsky ütles, et sisestas API päringusse juhusliku stringi, et kontrollida vea tõsidust. Seejärel sai ta 36 000 aktiveerimisvõtit Portaal 2, mida müüakse Steamis hinnaga 10 dollarit, koguväärtusega umbes 360 000 dollarit vaid ühe käsuga.

Steami viga on nüüd olemas salvestatud bug bounty veebisaidil HackerOne, kus on näha, et Moskowsky teatas 7. augustil Valve'i ärakasutamisest. Valve'il kulus haavatavuse lappimiseks ja Moskowskyle 15 000-dollarise boonuse ja 5000-dollarise boonuse andmiseks vaid paar päeva.

Valvel vedas, et ärakasutamise avastas aus häkker nagu Moskowsky. 20 000 dollari suurune preemia Moskowskyle on väike võrreldes Steami võimalike kahjudega kannatas, kui piraadid kasutasid seda viga laialdaselt iga mängu jaoks tasuta aktiveerimisvõtmete haaramiseks platvorm.

Muljetavaldav on see, et see pole suurim preemia, mille Moskowsky Valvelt saanud on. Juulis sai turvauurija 25 000 dollarit SQL-i süstimisveast teatamise eest, mis avastati ka Steami partnerportaalis.

Toimetajate soovitused

  • Steami suvemüügi ajal saate Steam Decki 20% soodsamalt
  • Värskendatud Steami mobiilirakendus võimaldab teil oma telefonist mänge alla laadida
  • Kas Steam Deck on ette tellitud? Siin on esimesed Deck Verified mängud, mida peaksite mängima
  • Steam Deckile on tulemas uus portaali spinoff mäng
  • 3 põhjust, miks Steam Deck on parim mänguri pihuarvuti

Uuenda oma elustiiliDigitaalsed suundumused aitavad lugejatel hoida silma peal kiirel tehnikamaailmal kõigi viimaste uudiste, lõbusate tooteülevaadete, sisukate juhtkirjade ja ainulaadsete lühiülevaadetega.