Peneliti keamanan Artem Moskowsky menemukan bug Steam yang memberinya akses ke kunci gratis tanpa batas game apa pun di platform distribusi digital, tetapi alih-alih menyalahgunakan eksploitasi tersebut, dia malah melaporkannya Katup untuk hadiah $20.000.
Moskowsky mengatakan kepada The Register bahwa dia tidak sengaja telah menemukan kerentanan saat menjelajah melalui portal mitra Steam, yaitu situs web tempat pengembang mengelola game yang dapat diunduh di platform. Peneliti keamanan, yang berkarir sebagai pemburu bug, memperhatikan bahwa mudah untuk mengubah parameter permintaan API, yang memberinya kunci aktivasi untuk game tertentu.
Video yang Direkomendasikan
API ini memungkinkan pengembang memperoleh kunci lisensi untuk game mereka, yang kemudian dapat diteruskan ke gamer. Namun, seperti yang ditunjukkan Moskowsky, hal ini bisa saja disalahgunakan oleh penyerang yang memiliki akses ke portal mitra Steam untuk menghasilkan kunci aktivasi dalam jumlah tak terbatas untuk game apa pun di
Uap. Berpura-pura sebagai pengembang juga cukup mudah untuk mendapatkan akses ke portal mitra, sehingga siapa pun bisa memanfaatkan kerentanan ini.Terkait
- Cobalah 6 demo game PC gratis yang luar biasa ini selama Steam Next Fest
- Mengapa saya menjual laptop gaming saya untuk membeli Steam Deck
- Dek Uap vs. cloud gaming: Bagaimana perbandingannya?
Moskowsky mengatakan bahwa dia memasukkan string acak ke dalam permintaan API untuk memeriksa tingkat keparahan bug. Dia kemudian menerima 36.000 kunci aktivasi untuk Pintu gerbang 2, yang dijual seharga $10 di Steam, dengan nilai total sekitar $360.000 hanya dalam satu perintah.
Bug Steam sekarang telah terjadi tercatat di situs bug bounty HackerOne, di mana terlihat bahwa Moskowsky melaporkan eksploitasi tersebut ke Valve pada 7 Agustus. Valve hanya membutuhkan waktu beberapa hari untuk memperbaiki kerentanannya, dan memberi Moskowsky hadiah $15.000 dan bonus $5.000.
Valve beruntung eksploitasi tersebut ditemukan oleh peretas jujur seperti Moskowsky. Hadiah $20.000 untuk Moskowsky sangat kecil dibandingkan dengan kemungkinan kerugian yang akan dialami Steam menderita jika bug tersebut banyak digunakan oleh bajak laut untuk mengambil kunci aktivasi gratis untuk setiap game di platform.
Menariknya, ini bukanlah hadiah terbesar yang diterima Moskowsky dari Valve. Pada bulan Juli, peneliti keamanan dianugerahi $25.000 karena melaporkan bug injeksi SQL, yang juga ditemukan di portal mitra Steam.
Rekomendasi Editor
- Anda bisa mendapatkan Steam Deck dengan diskon 20% sekarang selama Steam Summer Sale
- Aplikasi seluler Steam yang diperbarui memungkinkan Anda mengunduh game dari ponsel Anda
- Memesan Steam Deck di muka? Berikut adalah game Deck Verified pertama yang harus Anda mainkan
- Game spin-off Portal baru akan hadir di Steam Deck
- 3 alasan mengapa Steam Deck adalah perangkat genggam gaming terbaik
Tingkatkan gaya hidup AndaTren Digital membantu pembaca mengawasi dunia teknologi yang bergerak cepat dengan semua berita terbaru, ulasan produk yang menyenangkan, editorial yang berwawasan luas, dan cuplikan unik.
