Artem Moskowsky biztonsági kutató talált egy Steam hibát, amely végtelen számú ingyenes kulcshoz adott hozzáférést bármelyik játékot a digitális terjesztési platformon, de ahelyett, hogy visszaélt volna a kihasználással, feljelentette Szelep 20 000 dollár jutalomért.
Moskowsky azt mondta a The Registernek, hogy véletlenül felfedezték a biztonsági rés a Steam partnerportálon való böngészés közben, amely az a webhely, ahol a fejlesztők kezelik a platformra letölthető játékokat. A hibavadász karriert befutó biztonsági kutató észrevette, hogy egy API kérés paramétereit könnyű megváltoztatni, amivel bizonyos játékokhoz aktiváló kulcsokat kapott.
Ajánlott videók
Az API lehetővé teszi a fejlesztők számára, hogy licenckulcsokat szerezzenek játékaikhoz, amelyeket aztán továbbadhatnak a játékosoknak. Azonban, amint Moskowsky rámutatott, visszaélhetett vele egy támadó, akinek hozzáférése van a Steam partnerportálhoz, hogy végtelen számú aktiváló kulcsot generáljon bármely játékhoz. Gőz. A partnerportálhoz való hozzáférést fejlesztőnek is nagyon könnyű kiadni, így gyakorlatilag bárki kihasználhatta volna a sérülékenységet.
Összefüggő
- Próbáld ki ezt a 6 kiváló, ingyenes PC-játékdemót a Steam Next Fest alatt
- Miért adtam el a gamer laptopomat, hogy Steam Decket vegyek?
- Steam Deck vs. felhős játék: hogyan viszonyulnak ezekhez?
Moskowsky elmondta, hogy véletlenszerű karakterláncot írt be az API-kérésbe, hogy ellenőrizze a hiba súlyosságát. Ezután 36 000 aktiváló kulcsot kapott 2. portál, amelyet 10 dolláros áron adnak el a Steamen, összesen körülbelül 360 000 dollárért, egyetlen parancs alatt.
A Steam bug most megjelent rögzített a HackerOne bug bounty weboldalon, ahol látható, hogy Moskowsky augusztus 7-én jelentette a Valve-nek az exploitot. A Valve-nek csak néhány napra volt szüksége a sebezhetőség befoltozására, és Moskowsky-nak 15 000 dolláros jutalommal és 5 000 dolláros bónusszal jutalmazásához.
A Valve szerencséje, hogy a kizsákmányolást egy olyan becsületes hacker fedezte fel, mint Moskowsky. A Moskowsky 20 000 dolláros jutalma elenyésző a Steam esetleges veszteségeihez képest szenvedett, ha a hibát széles körben használták a kalózok, hogy ingyenes aktiválókulcsokat szerezzenek minden játékhoz felület.
Lenyűgöző módon nem ez a legnagyobb jutalom, amit Moskowsky kapott a Valve-tól. Júliusban a biztonsági kutató 25 000 dollárt kapott egy SQL injekciós hiba bejelentéséért, amelyet a Steam partnerportálon is felfedeztek.
Szerkesztői ajánlások
- Most 20% kedvezménnyel szerezhetsz Steam Decket a Steam nyári leárazás alatt
- A frissített Steam mobilalkalmazással játékokat tölthet le telefonjáról
- Előrendelt Steam Deck? Itt vannak az első Deck Verified játékok, amelyeket érdemes játszani
- Egy új Portal spinoff játék érkezik a Steam Deckre
- 3 ok, amiért a Steam Deck a legjobb játék kézi számítógép
Frissítse életmódjátA Digital Trends segítségével az olvasók nyomon követhetik a technológia rohanó világát a legfrissebb hírekkel, szórakoztató termékismertetőkkel, éleslátó szerkesztőségekkel és egyedülálló betekintésekkel.
