Drošības pētnieks Artjoms Moskovskis atrada Steam kļūdu, kas viņam deva piekļuvi bezgalīgām bezmaksas atslēgām jebkuru spēli digitālās izplatīšanas platformā, bet tā vietā, lai ļaunprātīgi izmantotu izmantošanu, viņš par to ziņoja Vārsts par 20 000 USD atlīdzību.
Moskovskis žurnālam The Register teica, ka viņš nejauši atklāja ievainojamība, pārlūkojot Steam partneru portālu, kas ir vietne, kurā izstrādātāji pārvalda spēles, kuras var lejupielādēt platformā. Drošības pētnieks, kurš veidojis kļūdu mednieka karjeru, pamanīja, ka ir viegli mainīt API pieprasījuma parametrus, kas viņam deva aktivizācijas atslēgas noteiktām spēlēm.
Ieteiktie videoklipi
API ļauj izstrādātājiem iegūt savām spēlēm licences atslēgas, kuras viņi pēc tam var nodot spēlētājiem. Tomēr, kā norādīja Moskovskis, to varēja ļaunprātīgi izmantot uzbrucējs, kuram ir piekļuve Steam partneru portālam, lai ģenerētu bezgalīgu skaitu aktivizācijas atslēgu jebkurai spēlei. Tvaiks. Ir arī diezgan viegli uzdoties kā izstrādātājam, lai piekļūtu partneru portālam, tāpēc praktiski ikviens būtu varējis izmantot ievainojamību.
Saistīts
- Izmēģiniet šīs 6 lieliskās bezmaksas datorspēļu demonstrācijas Steam Next Fest laikā
- Kāpēc es pārdevu savu spēļu klēpjdatoru, lai iegādātos Steam Deck
- Steam Deck vs. mākoņa spēles: kā tās salīdzināt?
Moskovskis sacīja, ka viņš API pieprasījumā ievadīja nejaušu virkni, lai pārbaudītu kļūdas nopietnību. Pēc tam viņš saņēma 36 000 aktivizācijas atslēgas 2. portāls, kas Steam tiek pārdota par USD 10, un tā kopējā vērtība ir aptuveni USD 360 000 tikai vienā komandā.
Steam kļūda tagad ir bijusi ierakstīts kļūdu novēršanas vietnē HackerOne, kur redzams, ka Moskovskis 7. augustā ziņoja Valve par ekspluatāciju. Valve bija nepieciešamas tikai dažas dienas, lai aizlāpītu ievainojamību un piešķirtu Moskovskim 15 000 USD prēmiju un 5 000 USD prēmiju.
Valvem ir paveicies, ka ekspluatāciju atklāja tāds godīgs hakeris kā Moskovskis. 20 000 USD atlīdzība Moskovskim ir niecīga, salīdzinot ar iespējamiem zaudējumiem, kas varētu rasties Steam cieta, ja kļūdu plaši izmantoja pirāti, lai iegūtu bezmaksas aktivizācijas atslēgas katrai spēlei vietnē platforma.
Iespaidīgi, ka šī nav lielākā balva, ko Moskovskis saņēmis no Valve. Jūlijā drošības pētniekam tika piešķirti 25 000 USD par ziņošanu par SQL injekcijas kļūdu, kas tika atklāta arī Steam partneru portālā.
Redaktoru ieteikumi
- Steam vasaras izpārdošanas laikā varat iegūt Steam komplektu ar 20% atlaidi
- Atjauninātā Steam mobilā lietotne ļauj lejupielādēt spēles no tālruņa
- Vai iepriekš pasūtīts Steam Deck? Šīs ir pirmās Deck Verified spēles, kuras jums vajadzētu spēlēt
- Steam Deck tiek piedāvāta jauna Portal spinoff spēle
- 3 iemesli, kāpēc Steam Deck ir labākā spēļu rokas ierīce
Uzlabojiet savu dzīvesveiduDigitālās tendences palīdz lasītājiem sekot līdzi steidzīgajai tehnoloģiju pasaulei, izmantojot visas jaunākās ziņas, jautrus produktu apskatus, ieskatu saturošus rakstus un unikālus ieskatus.
