Исследователь безопасности Артем Московский обнаружил ошибку в Steam, которая давала ему доступ к бесконечному количеству бесплатных ключей для любую игру на платформе цифрового распространения, но вместо того, чтобы злоупотребить эксплойтом, он сообщил об этом Клапан за вознаграждение в размере 20 000 долларов.
Московский рассказал The Register, что случайно обнаруженный уязвимость при просмотре партнерского портала Steam, который представляет собой веб-сайт, на котором разработчики управляют играми, которые можно загрузить на платформе. Исследователь безопасности, сделавший карьеру охотника за ошибками, заметил, что параметры запроса API, который давал ему ключи активации для определенных игр, было легко изменить.
Рекомендуемые видео
API позволяет разработчикам получать лицензионные ключи для своих игр, которые они затем могут передавать геймерам. Однако, как отметил Московский, им мог воспользоваться злоумышленник, имеющий доступ к партнерскому порталу Steam, для генерации бесконечного количества ключей активации для любой игры на сайте.
Пар. Также довольно легко выдать себя за разработчика, чтобы получить доступ к партнерскому порталу, поэтому воспользоваться уязвимостью мог практически кто угодно.Связанный
- Попробуйте эти 6 отличных бесплатных демоверсий игр для ПК во время Steam Next Fest
- Почему я продал свой игровой ноутбук, чтобы купить Steam Deck
- Steam Deck против. облачные игры: как они сравниваются?
Московский рассказал, что ввел в запрос API случайную строку, чтобы проверить серьезность ошибки. Затем он получил 36 000 ключей активации для Портал 2, который продается в Steam за 10 долларов, а общая стоимость всего за одну команду составляет около 360 000 долларов.
Ошибка Steam теперь устранена. записано на веб-сайте по борьбе с ошибками HackerOne, где видно, что Московский сообщил об эксплойте Valve 7 августа. Valve потребовалось всего несколько дней, чтобы исправить уязвимость и наградить Московского наградой в размере 15 000 долларов и бонусом в 5 000 долларов.
Valve повезло, что эксплойт обнаружил такой честный хакер, как Московский. Вознаграждение в размере 20 000 долларов Московскому ничтожно по сравнению с возможными потерями, которые понесет Steam. пострадало, если пираты широко использовали эту ошибку для получения бесплатных ключей активации для каждой игры на Платформа.
Впечатляет, что это не самая большая награда, которую Московский получил от Valve. В июле исследователь безопасности получил 25 000 долларов за сообщение об ошибке SQL-инъекции, которая также была обнаружена на партнерском портале Steam.
Рекомендации редакции
- Вы можете получить Steam Deck со скидкой 20% прямо сейчас во время летней распродажи Steam.
- Обновленное мобильное приложение Steam позволяет загружать игры с телефона
- Оформили предзаказ Steam Deck? Вот первые игры, в которые вам стоит сыграть Deck Verified
- В Steam Deck появится новая игра-спин-офф Portal
- 3 причины, почему Steam Deck — лучший игровой портативный компьютер
Обновите свой образ жизниDigital Trends помогает читателям быть в курсе быстро меняющегося мира технологий благодаря всем последним новостям, забавным обзорам продуктов, содержательным редакционным статьям и уникальным кратким обзорам.
