O pesquisador de segurança Artem Moskowsky encontrou um bug no Steam que lhe dava acesso a infinitas chaves gratuitas para qualquer jogo na plataforma de distribuição digital, mas em vez de abusar da exploração, ele denunciou Válvula por uma recompensa de US$ 20.000.
Moskowsky disse ao The Register que ele acidentalmente descoberto a vulnerabilidade ao navegar pelo portal de parceiros Steam, que é o site onde os desenvolvedores gerenciam os jogos que podem ser baixados na plataforma. O pesquisador de segurança, que fez carreira como caçador de bugs, percebeu que era fácil alterar os parâmetros de uma solicitação de API, que lhe fornecia chaves de ativação para determinados jogos.
Vídeos recomendados
A API permite que os desenvolvedores adquiram chaves de licença para seus jogos, que podem então repassar aos jogadores. No entanto, como Moskowsky apontou, poderia ter sido abusado por um invasor que tenha acesso ao portal de parceiros Steam para gerar um número infinito de chaves de ativação para qualquer jogo no
Relacionado
- Experimente estas 6 excelentes demonstrações gratuitas de jogos para PC durante o Steam Next Fest
- Por que vendi meu laptop para jogos para comprar um Steam Deck
- Plataforma Steam vs. jogos em nuvem: como eles se comparam?
Moskowsky disse que inseriu uma string aleatória na solicitação da API para verificar a gravidade do bug. Ele então recebeu 36.000 chaves de ativação para Portal 2, que está sendo vendido a US$ 10 na Steam, por um valor total de cerca de US$ 360 mil em apenas um comando.
O bug do Steam agora foi gravado no site de recompensas por bugs HackerOne, onde pode ser visto que Moskowsky relatou a exploração à Valve em 7 de agosto. A Valve levou apenas alguns dias para corrigir a vulnerabilidade e premiar Moskowsky com uma recompensa de US$ 15.000 e um bônus de US$ 5.000.
A Valve teve sorte porque a exploração foi descoberta por um hacker honesto como Moskowsky. A recompensa de US$ 20.000 para Moskowsky é minúscula comparada às possíveis perdas que o Steam teria sofrido se o bug fosse amplamente usado por piratas para obter chaves de ativação gratuitas para todos os jogos no plataforma.
Impressionantemente, esta não é a maior recompensa que Moskowsky recebeu da Valve. Em julho, o pesquisador de segurança recebeu US$ 25 mil por relatar um bug de injeção de SQL, que também foi descoberto no portal de parceiros Steam.
Recomendações dos Editores
- Você pode obter um Steam Deck com 20% de desconto agora mesmo durante a Steam Summer Sale
- O aplicativo móvel Steam atualizado permite baixar jogos do seu telefone
- Pré-encomendou um Steam Deck? Aqui estão os primeiros jogos Deck Verified que você deve jogar
- Um novo jogo spinoff do Portal está chegando ao Steam Deck
- 3 razões pelas quais o Steam Deck é o melhor portátil para jogos
Atualize seu estilo de vidaDigital Trends ajuda os leitores a manter o controle sobre o mundo acelerado da tecnologia com as últimas notícias, análises divertidas de produtos, editoriais criteriosos e prévias únicas.
