Saugumo tyrinėtojas Artemas Moskowsky rado „Steam“ klaidą, kuri suteikė jam prieigą prie nemokamų begalinių raktų bet kurį žaidimą skaitmeninėje platinimo platformoje, tačiau užuot piktnaudžiavęs išnaudojimu, jis apie tai pranešė Vožtuvas už 20 000 USD atlygį.
Moskovskis „The Register“ sakė, kad jis netyčia atrado pažeidžiamumas naršant Steam partnerių portale, kuris yra svetainė, kurioje kūrėjai tvarko žaidimus, kuriuos galima atsisiųsti iš platformos. Klaidų medžiotojo karjerą padaręs saugumo tyrinėtojas pastebėjo, kad buvo nesunku pakeisti API užklausos parametrus, suteikiančius tam tikrų žaidimų aktyvinimo raktus.
Rekomenduojami vaizdo įrašai
API leidžia kūrėjams įsigyti savo žaidimų licencijos raktus, kuriuos jie gali perduoti žaidėjams. Tačiau, kaip pabrėžė Moskowsky, užpuolikas, turintis prieigą prie „Steam“ partnerių portalo, galėjo juo piktnaudžiauti, kad sugeneruotų begalinį aktyvinimo raktų skaičių bet kuriam žaidimui. Garai. Taip pat gana lengva apsirengti kūrėju, norint gauti prieigą prie partnerių portalo, todėl pažeidžiamumu galėjo pasinaudoti praktiškai bet kas.
Susijęs
- Išbandykite šias 6 puikias nemokamas kompiuterinių žaidimų demonstracines versijas per „Steam Next Fest“.
- Kodėl pardaviau savo žaidimų nešiojamąjį kompiuterį, kad nusipirkčiau „Steam Deck“.
- Steam Deck vs. Žaidimai debesyje: kaip juos palyginti?
Moskowsky sakė, kad į API užklausą įvedė atsitiktinę eilutę, kad patikrintų klaidos sunkumą. Tada jis gavo 36 000 aktyvinimo raktų 2 portalas, kuris „Steam“ parduodamas už 10 USD, o bendra vertė yra apie 360 000 USD per vieną komandą.
Steam klaida dabar buvo įrašytas „Bug Bounty“ svetainėje „HackerOne“, kur matyti, kad „Moskowsky“ apie išnaudojimą „Valve“ pranešė rugpjūčio 7 d. Valve užtruko tik kelias dienas, kad pataisytų pažeidžiamumą ir Moskowsky apdovanotų 15 000 USD premiją ir 5 000 USD premiją.
Valve'ui pasisekė, kad išnaudojimą atrado toks sąžiningas įsilaužėlis kaip Moskowsky. 20 000 USD atlygis Moskowsky yra menkas, palyginti su galimais „Steam“ nuostoliais nukentėjo, jei šią klaidą plačiai naudojo piratai, norėdami gauti nemokamus kiekvieno žaidimo aktyvinimo raktus platforma.
Įspūdinga tai, kad tai nėra didžiausia dovana, kurią Moskowsky gavo iš Valve. Liepos mėnesį saugumo tyrinėtojui buvo skirta 25 000 USD už pranešimą apie SQL injekcijos klaidą, kuri taip pat buvo aptikta „Steam“ partnerių portale.
Redaktorių rekomendacijos
- Dabar „Steam“ vasaros išpardavimo metu „Steam Deck“ galite įsigyti su 20 % nuolaida
- Atnaujinta „Steam“ programa mobiliesiems leidžia atsisiųsti žaidimus iš savo telefono
- Iš anksto užsakėte „Steam Deck“? Štai pirmieji „Deck Verified“ žaidimai, kuriuos turėtumėte žaisti
- „Steam Deck“ ateina naujas portalo „spinoff“ žaidimas
- 3 priežastys, kodėl „Steam Deck“ yra geriausias žaidimų nešiojamasis kompiuteris
Atnaujinkite savo gyvenimo būdąSkaitmeninės tendencijos padeda skaitytojams stebėti sparčiai besivystantį technologijų pasaulį – pateikiamos visos naujausios naujienos, smagios produktų apžvalgos, įžvalgūs vedamieji leidiniai ir unikalūs žvilgsniai.
