Sigurnosni istraživač Artem Moskowsky pronašao je Steam bug koji mu je omogućio pristup beskonačnim besplatnim ključevima za bilo koju igru na platformi za digitalnu distribuciju, ali umjesto da zlorabi exploit, prijavio ga je Ventil za nagradu od 20.000 dolara.
Moskowsky je za The Register rekao da je slučajno otkrio ranjivost tijekom pregledavanja partnerskog portala Steam, web stranice na kojoj programeri upravljaju igrama koje se mogu preuzeti na platformi. Istraživač sigurnosti, koji je napravio karijeru kao lovac na bugove, primijetio je da je bilo lako promijeniti parametre API zahtjeva, koji su mu dali aktivacijske ključeve za određene igre.
Preporučeni videozapisi
API omogućuje razvojnim programerima nabavu licencnih ključeva za svoje igre, koje zatim mogu proslijediti igračima. Međutim, kako je istaknuo Moskowsky, mogao ga je zloupotrijebiti napadač koji ima pristup partnerskom portalu Steam za generiranje beskonačnog broja aktivacijskih ključeva za bilo koju igru na Steam. Također je prilično lako predstavljati se kao razvojni programer da biste dobili pristup partnerskom portalu, tako da je praktički bilo tko mogao iskoristiti ranjivost.
Povezano
- Isprobajte ovih 6 izvrsnih, besplatnih demonstracija PC igara tijekom Steam Next Festa
- Zašto sam prodao svoje prijenosno računalo za igranje da bih kupio Steam Deck
- Steam Deck vs. igranje u oblaku: Kako se uspoređuju?
Moskowsky je rekao da je unio nasumični niz u API zahtjev kako bi provjerio ozbiljnost greške. Tada je dobio 36.000 aktivacijskih ključeva za Portal 2, koji se na Steamu prodaje po cijeni od 10 dolara, ukupne vrijednosti oko 360 tisuća dolara u samo jednoj naredbi.
Greška Steam sada postoji snimljeno na web stranici za bug bounty HackerOne, gdje se može vidjeti da je Moskowsky prijavio exploit Valveu 7. kolovoza. Valveu je trebalo samo nekoliko dana da popravi ranjivost i nagradi Moskowskog s nagradom od 15.000 dolara i bonusom od 5.000 dolara.
Valve ima sreće što je exploit otkrio pošteni haker poput Moskowskog. Nagrada od 20.000 dolara Moskowskomu je neznatna u usporedbi s mogućim gubicima koje bi Steam imao pretrpio ako su bug naširoko koristili pirati kako bi zgrabili besplatne aktivacijske ključeve za svaku igru na platforma.
Impresivno, ovo nije najveća nagrada koju je Moskowsky dobio od Valvea. U srpnju je sigurnosni istraživač dobio 25.000 dolara za prijavu greške u SQL injection-u, koja je također otkrivena na partnerskom portalu Steam.
Preporuke urednika
- Možete dobiti Steam Deck uz 20% popusta upravo sada tijekom Steam Summer Sale
- Ažurirana mobilna aplikacija Steam omogućuje preuzimanje igara s vašeg telefona
- Jeste li unaprijed naručili Steam Deck? Evo prvih Deck Verified igara koje biste trebali igrati
- Nova Portal spinoff igra stiže na Steam Deck
- 3 razloga zašto je Steam Deck ultimativni ručni uređaj za igranje
Nadogradite svoj životni stilDigitalni trendovi pomažu čitateljima da prate brzi svijet tehnologije sa svim najnovijim vijestima, zabavnim recenzijama proizvoda, pronicljivim uvodnicima i jedinstvenim brzim pregledima.