უსაფრთხოების მკვლევარმა არტემ მოსკოვსკიმ აღმოაჩინა Steam-ის შეცდომა, რამაც მას წვდომა მისცა უსასრულო უფასო გასაღებებზე ნებისმიერი თამაში ციფრული განაწილების პლატფორმაზე, მაგრამ ექსპლოიტის ბოროტად გამოყენების ნაცვლად, მან შეატყობინა ამის შესახებ სარქველი 20000 დოლარის ჯილდოსთვის.
მოსკოვსკიმ განუცხადა რეესტრს, რომ მან შემთხვევით აღმოაჩინა დაუცველობა Steam-ის პარტნიორი პორტალის დათვალიერებისას, რომელიც არის ვებსაიტი, სადაც დეველოპერები მართავენ თამაშებს, რომლებიც შეიძლება ჩამოტვირთული იყოს პლატფორმაზე. უსაფრთხოების მკვლევარმა, რომელმაც შეცდომებზე მონადირის კარიერა გააკეთა, შენიშნა, რომ ადვილი იყო API მოთხოვნის პარამეტრების შეცვლა, რამაც მას გარკვეული თამაშებისთვის აქტივაციის გასაღებები მისცა.
რეკომენდებული ვიდეოები
API საშუალებას აძლევს დეველოპერებს შეიძინონ ლიცენზიის გასაღებები თავიანთი თამაშებისთვის, რომლებიც შემდეგ მათ შეუძლიათ გადასცენ მოთამაშეებს. თუმცა, როგორც მოსკოვსკიმ აღნიშნა, შეიძლება ბოროტად გამოეყენებინა თავდამსხმელი, რომელსაც აქვს წვდომა Steam პარტნიორის პორტალზე, რათა შეექმნა აქტივაციის კლავიშების უსასრულო რაოდენობა ნებისმიერი თამაშისთვის.
ორთქლი. ასევე საკმაოდ მარტივია დეველოპერად პოზირება პარტნიორის პორტალზე წვდომის მისაღებად, ასე რომ, პრაქტიკულად ნებისმიერს შეეძლო ესარგებლა დაუცველობით.დაკავშირებული
- სცადეთ ეს 6 შესანიშნავი, უფასო PC თამაშის დემო ვერსია Steam Next Fest-ის დროს
- რატომ გავყიდე ჩემი სათამაშო ლეპტოპი Steam Deck-ის შესაძენად
- Steam Deck vs. ღრუბლოვანი თამაში: როგორ ადარებენ ერთმანეთს?
მოსკოვსკიმ თქვა, რომ მან შეიყვანა შემთხვევითი სტრიქონი API მოთხოვნაში, რათა შეემოწმებინა შეცდომის სიმძიმე. შემდეგ მან მიიღო 36000 აქტივაციის გასაღები პორტალი 2, რომელიც იყიდება Steam-ზე $10-ად, საერთო ღირებულებით დაახლოებით $360,000 მხოლოდ ერთი ბრძანებით.
Steam-ის შეცდომა უკვე იყო ჩაიწერა bug bounty ვებსაიტზე HackerOne, სადაც ჩანს, რომ მოსკოვსკიმ 7 აგვისტოს აცნობა Valve-ს ექსპლოიტის შესახებ. Valve-ს მხოლოდ რამდენიმე დღე დასჭირდა დაუცველობის აღმოსაფხვრელად და მოსკოვსკის 15000 დოლარის ბონუსით და 5000 დოლარის პრემიით.
Valve-ს გაუმართლა, რომ ექსპლოიტი აღმოაჩინა პატიოსანმა ჰაკერმა, როგორიცაა მოსკოვსკი. მოსკოვსკის $20,000 ჯილდო მცირეა იმ შესაძლო დანაკარგებთან შედარებით, რაც Steam-ს ექნება. დაზარალდა, თუ შეცდომა ფართოდ გამოიყენებოდა მეკობრეების მიერ, რათა აეღოთ უფასო აქტივაციის გასაღებები ყველა თამაშისთვის პლატფორმა.
შთამბეჭდავია, რომ ეს არ არის ყველაზე დიდი ჯილდო, რაც მოსკოვსკიმ მიიღო Valve-სგან. ივლისში უსაფრთხოების მკვლევარს მიენიჭა $25,000 SQL ინექციის ხარვეზის მოხსენებისთვის, რომელიც ასევე აღმოჩენილი იქნა Steam-ის პარტნიორ პორტალზე.
რედაქტორების რეკომენდაციები
- თქვენ შეგიძლიათ მიიღოთ Steam Deck 20% ფასდაკლებით ახლავე Steam-ის საზაფხულო ფასდაკლება
- განახლებული Steam მობილური აპი საშუალებას გაძლევთ ჩამოტვირთოთ თამაშები თქვენი ტელეფონიდან
- წინასწარ შეუკვეთეთ Steam Deck? აქ არის პირველი Deck Verified თამაშები, რომლებიც უნდა ითამაშოთ
- პორტალის ახალი სპინოფის თამაში მოდის Steam Deck-ზე
- 3 მიზეზი, რის გამოც Steam Deck არის საბოლოო სათამაშო ხელის მოწყობილობა
განაახლეთ თქვენი ცხოვრების წესიDigital Trends ეხმარება მკითხველს თვალყური ადევნონ ტექნოლოგიების სწრაფ სამყაროს ყველა უახლესი სიახლეებით, სახალისო პროდუქტების მიმოხილვებით, გამჭრიახი რედაქციებითა და უნიკალური თვალით.