보안 연구원 Artem Moskowsky는 무한한 무료 키에 액세스할 수 있는 Steam 버그를 발견했습니다. 그는 디지털 배포 플랫폼의 모든 게임을 악용하는 대신 이를 악용하는 대신 판막 $20,000의 보상을 위해.
Moskowsky는 The Register에 자신이 실수로 발견 개발자가 플랫폼에서 다운로드할 수 있는 게임을 관리하는 웹사이트인 Steam 파트너 포털을 탐색하는 동안 취약점이 발견되었습니다. 버그 사냥꾼으로 경력을 쌓은 보안 연구원은 특정 게임에 대한 활성화 키를 제공하는 API 요청의 매개변수를 변경하는 것이 쉽다는 사실을 알아냈습니다.
추천 동영상
API를 통해 개발자는 게임에 대한 라이선스 키를 획득한 후 게이머에게 전달할 수 있습니다. 그러나 Moskowsky가 지적했듯이 Steam 파트너 포털에 액세스하여 모든 게임에 대해 무한한 수의 활성화 키를 생성하는 공격자가 이를 악용할 수 있었습니다. 증기. 파트너 포털에 액세스하기 위해 개발자인 척 하는 것도 매우 쉬우므로 실제로 누구나 이 취약점을 이용할 수 있습니다.
관련된
- Steam Next Fest 동안 뛰어난 무료 PC 게임 데모 6개를 시험해 보세요.
- Steam Deck을 구입하기 위해 게임용 노트북을 팔았던 이유
- 스팀 덱 vs. 클라우드 게임: 어떻게 비교하나요?
Moskowsky는 버그의 심각도를 확인하기 위해 API 요청에 임의의 문자열을 입력했다고 말했습니다. 그런 다음 그는 36,000개의 활성화 키를 받았습니다. 포털 2, Steam에서 $10에 판매되고 있으며 단 하나의 명령으로 총 가치는 약 $360,000입니다.
Steam 버그는 이제 녹음된 버그 바운티 웹사이트인 HackerOne에서는 Moskowsky가 8월 7일 Valve에 해당 취약점을 보고한 것을 볼 수 있습니다. Valve는 취약점을 패치하고 Moskowsky에게 $15,000의 현상금과 $5,000의 보너스를 수여하는 데 며칠 밖에 걸리지 않았습니다.
Moskowsky와 같은 정직한 해커가 이 취약점을 발견한 것은 Valve에게 행운입니다. Moskowsky에 대한 보상 $20,000는 Steam이 입을 수 있는 손실에 비하면 미미합니다. 해적들이 모든 게임의 무료 활성화 키를 얻기 위해 버그를 널리 사용했다면 어려움을 겪었을 것입니다. 플랫폼.
놀랍게도 이는 Moskowsky가 Valve로부터 받은 가장 큰 현상금이 아닙니다. 7월에 보안 연구원은 Steam 파트너 포털에서도 발견된 SQL 주입 버그를 보고한 대가로 25,000달러를 받았습니다.
편집자의 추천
- 지금 Steam 여름 할인 기간 동안 Steam Deck을 20% 할인된 가격으로 구매하실 수 있습니다.
- 업데이트된 Steam 모바일 앱을 통해 휴대폰에서 게임을 다운로드할 수 있습니다
- Steam 덱을 선주문하셨나요? 당신이 플레이해야 할 첫 번째 덱 인증 게임은 다음과 같습니다.
- 새로운 Portal 스핀오프 게임이 Steam Deck에 출시됩니다
- Steam Deck이 최고의 게임 휴대용 기기인 3가지 이유
당신의 라이프스타일을 업그레이드하세요Digital Trends는 독자들이 모든 최신 뉴스, 재미있는 제품 리뷰, 통찰력 있는 사설 및 독특한 미리보기를 통해 빠르게 변화하는 기술 세계를 계속 확인할 수 있도록 도와줍니다.
