Bezpečnostný výskumník Artem Moskowsky našiel chybu Steam, ktorá mu umožnila prístup k nekonečným bezplatným kľúčom akúkoľvek hru na platforme digitálnej distribúcie, ale namiesto zneužitia exploitu to nahlásil Ventil za odmenu 20 000 dolárov.
Moskowsky povedal pre The Register, že to urobil náhodou objavil zraniteľnosť pri prehliadaní partnerského portálu Steam, čo je web, na ktorom vývojári spravujú hry, ktoré je možné stiahnuť na platformu. Bezpečnostný výskumník, ktorý urobil kariéru ako lovec chýb, si všimol, že bolo ľahké zmeniť parametre žiadosti API, ktorá mu poskytla aktivačné kľúče pre určité hry.
Odporúčané videá
Rozhranie API umožňuje vývojárom získať licenčné kľúče pre svoje hry, ktoré potom môžu odovzdať hráčom. Ako však zdôraznil Moskowsky, mohol ho zneužiť útočník, ktorý má prístup k partnerskému portálu Steam, aby vygeneroval nekonečné množstvo aktivačných kľúčov pre akúkoľvek hru na Para. Je tiež celkom jednoduché vydávať sa za vývojára a získať prístup k partnerskému portálu, takže túto zraniteľnosť mohol využiť prakticky ktokoľvek.
Súvisiace
- Vyskúšajte týchto 6 vynikajúcich bezplatných ukážok počítačových hier počas Steam Next Festu
- Prečo som predal svoj herný notebook, aby som si kúpil Steam Deck
- Steam Deck vs. cloudové hry: Ako sa porovnávajú?
Moskowsky povedal, že do žiadosti API zadal náhodný reťazec, aby skontroloval závažnosť chyby. Potom dostal 36 000 aktivačných kľúčov pre Portál 2, ktorý sa na Steame predáva za 10 dolárov, v celkovej hodnote asi 360 000 dolárov len jedným príkazom.
Chyba Steamu sa teraz objavila zaznamenané na bug bounty webe HackerOne, kde je vidieť, že Moskowsky nahlásil exploit spoločnosti Valve 7. augusta. Valve trvalo len niekoľko dní, kým opravilo túto zraniteľnosť a udelilo Moskowskému odmenu 15 000 dolárov a bonus 5 000 dolárov.
Valve má šťastie, že exploit objavil čestný hacker ako Moskowsky. Odmena 20 000 dolárov pre Moskowského je nepatrná v porovnaní s možnými stratami, ktoré by mal Steam utrpel, ak bola chyba široko používaná pirátmi na získanie bezplatných aktivačných kľúčov pre každú hru na serveri plošina.
Je pôsobivé, že toto nie je najväčšia odmena, ktorú Moskowsky dostal od Valve. V júli získal bezpečnostný výskumník 25 000 dolárov za nahlásenie chyby vstrekovania SQL, ktorá bola objavená aj na partnerskom portáli Steam.
Odporúčania redaktorov
- Steam Deck môžete získať so zľavou 20 % práve teraz počas letného výpredaja Steam
- Aktualizovaná mobilná aplikácia Steam vám umožňuje sťahovať hry z telefónu
- Predobjednali ste si Steam Deck? Tu sú prvé Deck Verified hry, ktoré by ste mali hrať
- Na Steam Deck prichádza nová spinoffová hra Portal
- 3 dôvody, prečo je Steam Deck tým najlepším herným handheldom
Zlepšite svoj životný štýlDigitálne trendy pomáhajú čitateľom mať prehľad o rýchlo sa rozvíjajúcom svete technológií so všetkými najnovšími správami, zábavnými recenziami produktov, užitočnými úvodníkmi a jedinečnými ukážkami.