Beveiligingsonderzoeker Artem Moskowsky vond een Steam-bug die hem toegang gaf tot oneindige gratis sleutels voor elke game op het digitale distributieplatform, maar in plaats van de exploit te misbruiken, rapporteerde hij er aan Ventiel voor een beloning van $ 20.000.
Moskowsky vertelde The Register dat hij dit per ongeluk had gedaan ontdekt de kwetsbaarheid tijdens het browsen door het Steam-partnerportaal, de website waar ontwikkelaars games beheren die op het platform kunnen worden gedownload. De beveiligingsonderzoeker, die carrière heeft gemaakt als bugjager, merkte dat het gemakkelijk was om de parameters van een API-verzoek te wijzigen, waardoor hij activeringssleutels kreeg voor bepaalde games.
Aanbevolen video's
Met de API kunnen ontwikkelaars licentiesleutels voor hun games verkrijgen, die ze vervolgens aan gamers kunnen doorgeven. Zoals Moskowsky echter opmerkte, had het kunnen worden misbruikt door een aanvaller die toegang heeft tot het Steam-partnerportaal om een oneindig aantal activeringssleutels te genereren voor elk spel op
Stoom. Het is ook vrij eenvoudig om je voor te doen als ontwikkelaar om toegang te krijgen tot het partnerportaal, dus vrijwel iedereen had misbruik kunnen maken van de kwetsbaarheid.Verwant
- Probeer deze 6 uitstekende, gratis pc-gamedemo's tijdens Steam Next Fest
- Waarom ik mijn gaminglaptop verkocht om een Steam Deck te kopen
- Stoomdek vs. cloudgaming: hoe vergelijken ze?
Moskowsky zei dat hij een willekeurige string in het API-verzoek had ingevoerd om de ernst van de bug te controleren. Hij ontving toen 36.000 activeringssleutels voor Portaal 2, dat op Steam voor $ 10 wordt verkocht, voor een totale waarde van ongeveer $ 360.000 in slechts één opdracht.
De Steam-bug is nu verdwenen opgenomen op de bug bounty-website HackerOne, waar te zien is dat Moskowsky de exploit op 7 augustus aan Valve meldde. Valve had slechts een paar dagen nodig om de kwetsbaarheid te herstellen en Moskowsky een premie van $ 15.000 en een bonus van $ 5.000 te geven.
Valve heeft geluk dat de exploit werd ontdekt door een eerlijke hacker als Moskowsky. De beloning van $ 20.000 voor Moskowsky is minuscuul vergeleken met de mogelijke verliezen die Steam zou hebben geleden als de bug op grote schaal door piraten werd gebruikt om gratis activeringssleutels te bemachtigen voor elk spel op de platform.
Indrukwekkend genoeg is dit niet de grootste premie die Moskowsky van Valve heeft ontvangen. In juli ontving de beveiligingsonderzoeker $25.000 voor het melden van een SQL-injectiebug, die ook werd ontdekt op het Steam-partnerportaal.
Aanbevelingen van de redactie
- Je kunt nu een Steam Deck met 20% korting krijgen tijdens de Steam Summer Sale
- Met de bijgewerkte mobiele Steam-app kun je games downloaden vanaf je telefoon
- Een Steam Deck vooraf besteld? Hier zijn de eerste Deck Verified-spellen die je zou moeten spelen
- Er komt een nieuwe Portal-spin-offgame naar Steam Deck
- 3 redenen waarom de Steam Deck de ultieme gaming-handheld is
Upgrade uw levensstijlMet Digital Trends kunnen lezers de snelle technische wereld in de gaten houden met het laatste nieuws, leuke productrecensies, inzichtelijke redactionele artikelen en unieke sneak peeks.
