Il ricercatore di sicurezza Artem Moskowsky ha trovato un bug di Steam che gli dava accesso a infinite chiavi gratuite per qualsiasi gioco sulla piattaforma di distribuzione digitale, ma invece di abusare dell'exploit, lo ha segnalato Valvola per una ricompensa di $ 20.000.
Moskowsky ha detto a The Register di averlo accidentalmente scoperto la vulnerabilità durante la navigazione nel portale dei partner Steam, ovvero il sito Web in cui gli sviluppatori gestiscono i giochi che possono essere scaricati sulla piattaforma. Il ricercatore di sicurezza, che ha fatto carriera come cacciatore di bug, ha notato che era facile modificare i parametri di una richiesta API, che gli forniva chiavi di attivazione per determinati giochi.
Video consigliati
L'API consente agli sviluppatori di acquisire chiavi di licenza per i loro giochi, che possono poi trasmettere ai giocatori. Tuttavia, come ha sottolineato Moskowsky, un utente malintenzionato che ha accesso al portale partner di Steam potrebbe abusarne per generare un numero infinito di chiavi di attivazione per qualsiasi gioco su Steam.
Vapore. È anche abbastanza facile spacciarsi per sviluppatore per avere accesso al portale partner, quindi praticamente chiunque avrebbe potuto sfruttare la vulnerabilità.Imparentato
- Prova queste 6 eccellenti demo gratuite di giochi per PC durante Steam Next Fest
- Perché ho venduto il mio laptop da gioco per acquistare uno Steam Deck
- Ponte Steam contro Giochi sul cloud: come si confrontano?
Moskowsky ha affermato di aver inserito una stringa casuale nella richiesta API per verificare la gravità del bug. Ha poi ricevuto 36.000 chiavi di attivazione per Portale 2, che viene venduto a $ 10 su Steam, per un valore totale di circa $ 360.000 in un solo comando.
Il bug di Steam ora è stato registrato sul sito web bug bounty HackerOne, dove si può vedere che Moskowsky ha segnalato l'exploit a Valve il 7 agosto. Valve ha impiegato solo pochi giorni per correggere la vulnerabilità e premiare Moskowsky con una taglia di $ 15.000 e un bonus di $ 5.000.
Valve è fortunata che l'exploit sia stato scoperto da un hacker onesto come Moskowsky. La ricompensa di $ 20.000 per Moskowsky è minuscola rispetto alle possibili perdite che Steam avrebbe sofferto se il bug fosse ampiamente utilizzato dai pirati per ottenere chiavi di attivazione gratuite per ogni gioco sul piattaforma.
Sorprendentemente, questa non è la ricompensa più grande che Moskowsky ha ricevuto da Valve. A luglio, il ricercatore di sicurezza ha ricevuto 25.000 dollari per aver segnalato un bug di SQL injection, scoperto anche sul portale dei partner Steam.
Raccomandazioni degli editori
- Puoi ottenere subito un mazzo Steam con uno sconto del 20% durante i saldi estivi di Steam
- L'app mobile Steam aggiornata ti consente di scaricare giochi dal tuo telefono
- Hai prenotato un mazzo Steam? Ecco i primi giochi con mazzo verificato a cui dovresti giocare
- Un nuovo gioco spin-off di Portal è in arrivo su Steam Deck
- 3 motivi per cui Steam Deck è il dispositivo portatile da gioco definitivo
Migliora il tuo stile di vitaDigital Trends aiuta i lettori a tenere d'occhio il frenetico mondo della tecnologia con tutte le ultime notizie, divertenti recensioni di prodotti, editoriali approfonditi e anteprime uniche nel loro genere.