Badacz bezpieczeństwa Artem Moskowsky znalazł błąd Steam, który dał mu dostęp do nieskończonych darmowych kluczy dowolnej gry na platformie dystrybucji cyfrowej, ale zamiast nadużyć exploita, zgłosił to Zawór za nagrodę w wysokości 20 000 dolarów.
Moskowsky powiedział The Register, że zrobił to przypadkowo odkryty luka podczas przeglądania portalu partnerskiego Steam, czyli strony, na której programiści zarządzają grami, które można pobrać na platformę. Badacz bezpieczeństwa, który zrobił karierę jako łowca błędów, zauważył, że łatwo było zmienić parametry żądania API, które dawało mu klucze aktywacyjne do niektórych gier.
Polecane filmy
API pozwala programistom na zdobycie kluczy licencyjnych do swoich gier, które następnie mogą przekazać graczom. Jednak, jak zauważył Moskowsky, mógł on zostać wykorzystany przez osobę atakującą mającą dostęp do portalu partnerskiego Steam w celu wygenerowania nieskończonej liczby kluczy aktywacyjnych do dowolnej gry na platformie Steam. Para. Całkiem łatwo jest również udawać programistę, aby uzyskać dostęp do portalu partnerskiego, więc praktycznie każdy mógł skorzystać z tej luki.
Powiązany
- Wypróbuj 6 doskonałych, darmowych wersji demonstracyjnych gier na PC podczas Steam Next Fest
- Dlaczego sprzedałem laptopa do gier, żeby kupić Steam Deck
- Pokład Steam vs. gry w chmurze: jak się je porównuje?
Moskowsky powiedział, że w żądaniu API wprowadził losowy ciąg znaków, aby sprawdzić wagę błędu. Następnie otrzymał 36 000 kluczy aktywacyjnych Portal 2, który jest sprzedawany na Steamie po 10 dolarów, za łączną kwotę około 360 000 dolarów w jednym poleceniu.
Błąd Steam już był nagrany na stronie internetowej poświęconej błędom HackerOne, gdzie można zobaczyć, że Moskowsky zgłosił exploit firmie Valve 7 sierpnia. Załatanie luki i przyznanie Moskowsky’emu nagrody w wysokości 15 000 dolarów oraz premii w wysokości 5000 dolarów zajęło firmie Valve zaledwie kilka dni.
Valve ma szczęście, że exploit został odkryty przez uczciwego hakera, takiego jak Moskowsky. Nagroda w wysokości 20 000 dolarów dla Moskowsky’ego jest niewielka w porównaniu z możliwymi stratami, jakie poniósłby Steam ucierpiało, gdyby błąd był szeroko stosowany przez piratów w celu zdobycia bezpłatnych kluczy aktywacyjnych do każdej gry na platformie platforma.
Co ciekawe, nie jest to największa nagroda, jaką Moskowsky otrzymał od Valve. W lipcu badacz bezpieczeństwa otrzymał 25 000 dolarów za zgłoszenie błędu polegającego na wstrzykiwaniu kodu SQL, który wykryto także na portalu partnerskim Steam.
Zalecenia redaktorów
- Możesz teraz kupić talię Steam za 20% zniżki podczas letniej wyprzedaży Steam
- Zaktualizowana aplikacja mobilna Steam umożliwia pobieranie gier z telefonu
- Zamówiłeś w przedsprzedaży pokład Steam? Oto pierwsze gry Deck Verified, w które powinieneś zagrać
- Nowa gra będąca spinoffem Portalu pojawi się na Steam Deck
- 3 powody, dla których Steam Deck jest najlepszym urządzeniem przenośnym do gier
Ulepsz swój styl życiaDigital Trends pomaga czytelnikom śledzić szybko rozwijający się świat technologii dzięki najnowszym wiadomościom, zabawnym recenzjom produktów, wnikliwym artykułom redakcyjnym i jedynym w swoim rodzaju zajawkom.
