Le chercheur en sécurité Artem Moskowsky a découvert un bug Steam qui lui donnait accès à une infinité de clés gratuites pour n'importe quel jeu sur la plateforme de distribution numérique, mais au lieu d'abuser de l'exploit, il l'a signalé à Soupape pour une récompense de 20 000 $.
Moskowsky a déclaré au Register qu'il avait accidentellement découvert la vulnérabilité lors de la navigation sur le portail des partenaires Steam, qui est le site Web sur lequel les développeurs gèrent les jeux pouvant être téléchargés sur la plateforme. Le chercheur en sécurité, qui a fait carrière comme chasseur de bugs, a remarqué qu'il était facile de modifier les paramètres d'une requête API, ce qui lui donnait des clés d'activation pour certains jeux.
Vidéos recommandées
L'API permet aux développeurs d'acquérir des clés de licence pour leurs jeux, qu'ils peuvent ensuite transmettre aux joueurs. Cependant, comme l'a souligné Moskowsky, un attaquant ayant accès au portail partenaire Steam aurait pu en abuser pour générer un nombre infini de clés d'activation pour n'importe quel jeu sur Steam.
Vapeur. Il est également assez facile de se faire passer pour un développeur pour accéder au portail partenaire, de sorte que pratiquement tout le monde aurait pu profiter de cette vulnérabilité.En rapport
- Essayez ces 6 excellentes démos de jeux PC gratuites pendant Steam Next Fest
- Pourquoi j'ai vendu mon ordinateur portable de jeu pour acheter un Steam Deck
- Steam Deck contre cloud gaming: comment se comparent-ils?
Moskowsky a déclaré avoir entré une chaîne aléatoire dans la requête API pour vérifier la gravité du bug. Il a ensuite reçu 36 000 clés d'activation pour Portail 2, qui est vendu 10 $ sur Steam, pour une valeur totale d'environ 360 000 $ en une seule commande.
Le bug Steam a maintenant été enregistré sur le site Web de bug bounty HackerOne, où l'on peut voir que Moskowsky a signalé l'exploit à Valve le 7 août. Valve n'a mis que quelques jours pour corriger la vulnérabilité et attribuer à Moskowsky une prime de 15 000 $ et un bonus de 5 000 $.
Valve a de la chance que l'exploit ait été découvert par un hacker honnête comme Moskowsky. La récompense de 20 000 $ accordée à Moskowsky est minuscule par rapport aux pertes possibles que Steam aurait subies. subi si le bug était largement utilisé par les pirates pour récupérer des clés d'activation gratuites pour chaque jeu sur le réseau. plate-forme.
Impressionnant, ce n’est pas la plus grosse prime que Moskowsky ait reçue de Valve. En juillet, le chercheur en sécurité a reçu 25 000 $ pour avoir signalé un bug d'injection SQL, également découvert sur le portail des partenaires Steam.
Recommandations des rédacteurs
- Vous pouvez obtenir un Steam Deck à 20 % de réduction dès maintenant pendant les soldes d'été Steam.
- L'application mobile Steam mise à jour vous permet de télécharger des jeux depuis votre téléphone
- Vous avez précommandé un Steam Deck? Voici les premiers jeux Deck Verified auxquels vous devriez jouer
- Un nouveau jeu dérivé de Portal arrive sur Steam Deck
- 3 raisons pour lesquelles le Steam Deck est l'ordinateur de poche de jeu ultime
Améliorez votre style de vieDigital Trends aide les lecteurs à garder un œil sur le monde en évolution rapide de la technologie avec toutes les dernières nouvelles, des critiques de produits amusantes, des éditoriaux perspicaces et des aperçus uniques.
