セキュリティ研究者の Artem Moskowsky 氏は、無限の無料キーにアクセスできる Steam のバグを発見しました。 デジタル配信プラットフォーム上のあらゆるゲームを対象としていましたが、そのエクスプロイトを悪用する代わりに、彼はそれを次の機関に報告しました。 バルブ 20,000ドルの報酬を得るために。
モスコフスキー氏は、誤って誤って操作したとレジスター紙に語った。 発見した この脆弱性は、開発者がプラットフォーム上でダウンロードできるゲームを管理する Web サイトである Steam パートナー ポータルを閲覧しているときに発生します。 バグハンターとしてキャリアを積んできたセキュリティ研究者は、API リクエストのパラメータを簡単に変更できることに気づき、それによって特定のゲームのアクティベーション キーが得られました。
おすすめ動画
この API を使用すると、開発者はゲームのライセンス キーを取得し、それをゲーマーに渡すことができます。 ただし、Moskowsky 氏が指摘したように、Steam パートナー ポータルにアクセスできる攻撃者によって悪用され、ゲームのアクティベーション キーを無数に生成する可能性があります。 蒸気. また、開発者を装ってパートナー ポータルにアクセスすることも非常に簡単であるため、事実上誰でもこの脆弱性を悪用する可能性があります。
関連している
- Steam Next Fest 中に、これら 6 つの優れた無料 PC ゲーム デモをお試しください
- Steam デッキを購入するためにゲーミング ノートパソコンを売った理由
- スチームデッキ vs. クラウド ゲーム: 比較するとどうなるでしょうか?
モスコフスキー氏は、バグの重大度をチェックするためにAPIリクエストにランダムな文字列を入力したと述べた。 その後、彼は 36,000 個のアクティベーション キーを受け取りました。 ポータル2は Steam で 10 ドルで販売されており、コマンド 1 つで総額約 36 万ドルになります。
Steam のバグは現在、 記録された バグ報奨金 Web サイト HackerOne では、Moskowsky が 8 月 7 日にこのエクスプロイトを Valve に報告したことがわかります。 Valve はわずか数日で脆弱性を修正し、Moskowsky 氏に 15,000 ドルの報奨金と 5,000 ドルのボーナスを授与しました。
Valve は、このエクスプロイトが Moskowsky のような誠実なハッカーによって発見されたことを幸運に思います。 Moskowsky 氏への 20,000 ドルの報酬は、Steam が被る可能性のある損失に比べれば微々たるものです。 このバグが、あらゆるゲームの無料アクティベーション キーを取得するために海賊によって広く使用されていた場合、被害を受けることになります。 プラットホーム。
印象的なのは、これが Moskowsky 氏が Valve から受け取った最高の報奨金ではないということです。 7 月、このセキュリティ研究者は、同じく Steam パートナー ポータルで発見された SQL インジェクションのバグを報告したことで 25,000 ドルを授与されました。
編集者のおすすめ
- Steam サマー セール中、今なら Steam デッキを 20% オフで入手できます
- アップデートされた Steam モバイル アプリで携帯電話からゲームをダウンロードできるようになりました
- Steam デッキを予約注文しましたか? 最初にプレイすべきデッキ検証済みゲームは次のとおりです
- 新しいポータルのスピンオフ ゲームが Steam デッキに登場します
- Steam デッキが究極の携帯ゲーム機である 3 つの理由
ライフスタイルをアップグレードするDigital Trends は、読者が最新ニュース、楽しい製品レビュー、洞察力に富んだ社説、ユニークなスニーク ピークをすべて提供して、ペースの速いテクノロジーの世界を監視するのに役立ちます。
