Valve Awards Hacker $20 000 for Steam Bug Discovery

Sikkerhetsforsker Artem Moskowsky fant en Steam-feil som ga ham tilgang til uendelige gratis nøkler for ethvert spill på den digitale distribusjonsplattformen, men i stedet for å misbruke utnyttelsen, rapporterte han det til Ventil for en belønning på $20 000.

Moskowsky fortalte The Register at han ved et uhell oppdaget sårbarheten mens du surfer gjennom Steam-partnerportalen, som er nettstedet der utviklere administrerer spill som kan lastes ned på plattformen. Sikkerhetsforskeren, som har gjort en karriere som bugjeger, la merke til at det var enkelt å endre parametrene til en API-forespørsel, noe som ga ham aktiveringsnøkler for visse spill.

Anbefalte videoer

API-en lar utviklere anskaffe lisensnøkler for spillene sine, som de deretter kan gi videre til spillere. Imidlertid, som Moskowsky påpekte, kunne det ha blitt misbrukt av en angriper som har tilgang til Steam-partnerportalen for å generere et uendelig antall aktiveringsnøkler for ethvert spill på Damp. Det er også ganske enkelt å posere som utvikler for å få tilgang til partnerportalen, så praktisk talt hvem som helst kunne ha utnyttet sårbarheten.

I slekt

  • Prøv disse 6 utmerkede, gratis PC-spilldemoene under Steam Next Fest
  • Hvorfor jeg solgte min gaming-laptop for å kjøpe en Steam Deck
  • Steam Deck vs. skyspilling: Hvordan sammenligner de seg?

Moskowsky sa at han skrev inn en tilfeldig streng i API-forespørselen for å sjekke alvorlighetsgraden av feilen. Han mottok da 36 000 aktiveringsnøkler for Portal 2, som selges for $10 på Steam, for en total verdi på rundt $360 000 på bare én kommando.

Steam-feilen har nå vært innspilt på bug bounty-nettstedet HackerOne, hvor det kan ses at Moskowsky rapporterte utnyttelsen til Valve 7. august. Valve brukte bare noen få dager på å reparere sårbarheten, og tildele Moskowsky en dusør på $15.000 og en bonus på $5.000.

Valve er heldig at utnyttelsen ble oppdaget av en ærlig hacker som Moskowsky. Belønningen på $20 000 til Moskowsky er minimal sammenlignet med de mulige tapene som Steam ville ha lidd hvis feilen ble mye brukt av pirater for å hente gratis aktiveringsnøkler for hvert spill på plattform.

Imponerende nok er ikke dette den største dusøren som Moskowsky har mottatt fra Valve. I juli ble sikkerhetsforskeren tildelt $25 000 for å rapportere en SQL-injeksjonsfeil, som også ble oppdaget på Steam-partnerportalen.

Redaktørenes anbefalinger

  • Du kan få en Steam-deck til 20 % rabatt akkurat nå under Steam Summer Sale
  • Oppdatert Steam-mobilapp lar deg laste ned spill fra telefonen
  • Forhåndsbestilt en Steam-deck? Her er de første Deck Verified-spillene du bør spille
  • Et nytt portalspinoff-spill kommer til Steam Deck
  • 3 grunner til at Steam Deck er den ultimate spillhåndholdte

Oppgrader livsstilen dinDigitale trender hjelper leserne å følge med på den fartsfylte teknologiverdenen med alle de siste nyhetene, morsomme produktanmeldelser, innsiktsfulle redaksjoner og unike sniktitter.