Tietoturvatutkija Artem Moskowsky löysi Steam-bugin, joka antoi hänelle pääsyn loputtomiin ilmaisiin avaimiin mikä tahansa peli digitaalisella jakelualustalla, mutta sen sijaan, että olisi käyttänyt väärin, hän ilmoitti siitä Venttiili 20 000 dollarin palkkioksi.
Moskowsky kertoi The Registerille, että hän vahingossa löydetty haavoittuvuus, kun selaat Steam-kumppaniportaalia, joka on verkkosivusto, jolla kehittäjät hallitsevat alustalle ladattavia pelejä. Virheenmetsästäjänä uran tehnyt tietoturvatutkija huomasi, että API-pyynnön parametreja oli helppo muuttaa, jolloin hän sai tiettyihin peleihin aktivointiavaimet.
Suositellut videot
Sovellusliittymän avulla kehittäjät voivat hankkia lisenssiavaimet peleihinsä, jotka he voivat sitten välittää pelaajille. Kuitenkin, kuten Moskowsky huomautti, hyökkääjä, jolla on pääsy Steam-kumppaniportaaliin, olisi voinut käyttää sitä väärin luodakseen äärettömän määrän aktivointiavaimia mille tahansa pelille. Steam. On myös melko helppoa esiintyä kehittäjänä päästäkseen kumppaniportaaliin, joten käytännössä kuka tahansa olisi voinut hyödyntää haavoittuvuutta.
Liittyvät
- Kokeile näitä kuutta erinomaista, ilmaista PC-pelidemoa Steam Next Fesin aikana
- Miksi myin pelitietokoneeni ostaakseni Steam Deckin
- Steam Deck vs. pilvipelaaminen: miten niitä verrataan?
Moskowsky sanoi syöttäneensä satunnaisen merkkijonon API-pyyntöön tarkistaakseen vian vakavuuden. Sitten hän sai 36 000 aktivointiavainta Portaali 2, joka myydään 10 dollarilla Steamissä, kokonaisarvoltaan noin 360 000 dollaria yhdellä komennolla.
Steam-bugi on nyt ollut tallennettu bug bounty -sivustolla HackerOne, josta voidaan nähdä, että Moskowsky ilmoitti hyväksikäytöstä Valvelle 7. elokuuta. Valvelta kesti vain muutama päivä korjata haavoittuvuus ja myöntää Moskowskylle 15 000 dollarin palkkion ja 5 000 dollarin bonuksen.
Valve on onnekas, että Moskowskyn kaltainen rehellinen hakkeri löysi hyväksikäytön. 20 000 dollarin palkkio Moskowskylle on vähäinen verrattuna Steamin mahdollisiin tappioihin kärsivät, jos merirosvot käyttivät vikaa laajalti nappaamaan ilmaisia aktivointiavaimia jokaiseen peliin alusta.
Vaikuttavaa on, että tämä ei ole suurin palkkio, jonka Moskowsky on saanut Valvelta. Heinäkuussa tietoturvatutkija sai 25 000 dollaria SQL-injektiovirheen ilmoittamisesta, joka myös löydettiin Steam-kumppaniportaalista.
Toimittajien suositukset
- Saat Steam Deckin 20 % alennuksella juuri nyt Steamin kesäaleen aikana
- Päivitetyn Steam-mobiilisovelluksen avulla voit ladata pelejä puhelimestasi
- Ennakkotilattu Steam Deck? Tässä ovat ensimmäiset Deck Verified -pelit, joita sinun pitäisi pelata
- Uusi Portal-spinoff-peli on tulossa Steam Deckiin
- 3 syytä, miksi Steam Deck on paras pelikämmenlaite
Päivitä elämäntapasiDigital Trends auttaa lukijoita pysymään tekniikan nopeatempoisessa maailmassa uusimpien uutisten, hauskojen tuotearvostelujen, oivaltavien toimitusten ja ainutlaatuisten kurkistusten avulla.
