Varnostni raziskovalec Artem Moskowsky je našel napako Steam, ki mu je omogočila dostop do neskončnih brezplačnih ključev za katero koli igro na digitalni distribucijski platformi, vendar je namesto zlorabe zlorabe to prijavil Ventil za 20.000 dolarjev nagrade.
Moskowsky je za The Register povedal, da je po nesreči odkriti ranljivost med brskanjem po partnerskem portalu Steam, ki je spletno mesto, kjer razvijalci upravljajo igre, ki jih je mogoče prenesti na platformo. Varnostni raziskovalec, ki si je ustvaril kariero kot lovec na hrošče, je opazil, da je bilo preprosto spremeniti parametre zahteve API, ki mu je dala aktivacijske ključe za določene igre.
Priporočeni videoposnetki
API omogoča razvijalcem, da pridobijo licenčne ključe za svoje igre, ki jih lahko nato posredujejo igralcem. Vendar, kot je poudaril Moskowsky, bi ga lahko zlorabil napadalec, ki ima dostop do partnerskega portala Steam za ustvarjanje neskončnega števila aktivacijskih ključev za katero koli igro na Steam. Prav tako se je precej enostavno predstavljati kot razvijalec za pridobitev dostopa do partnerskega portala, tako da bi praktično vsak lahko izkoristil ranljivost.
Povezano
- Preizkusite teh 6 odličnih brezplačnih predstavitev računalniških iger med festivalom Steam Next Fest
- Zakaj sem prodal svoj igralni prenosnik, da bi kupil Steam Deck
- Steam Deck vs. igre v oblaku: kako se primerjajo?
Moskowsky je dejal, da je vnesel naključni niz v zahtevo API, da bi preveril resnost hrošča. Nato je prejel 36.000 aktivacijskih ključev za Portal 2, ki se na Steamu prodaja po 10 USD, v skupni vrednosti približno 360.000 USD v samo enem ukazu.
Napaka Steam je zdaj prisotna posneto na spletnem mestu za nagrade za hrošče HackerOne, kjer je razvidno, da je Moskowsky o izkoriščanju poročal podjetju Valve 7. avgusta. Valve je potreboval le nekaj dni, da je popravil ranljivost in nagradil Moskowskyja s 15.000 $ nagrade in 5.000 $ bonusa.
Valve ima srečo, da je podvig odkril pošten heker, kot je Moskowsky. Nagrada v višini 20.000 $ Moskowskyju je majhna v primerjavi z možnimi izgubami, ki bi jih imel Steam utrpela, če so pirati pogosto uporabljali hrošč za pridobivanje brezplačnih aktivacijskih ključev za vsako igro na platforma.
Presenetljivo je, da to ni največja nagrada, ki jo je Moskowsky prejel od Valvea. Julija je bil varnostni raziskovalec nagrajen s 25.000 $ za poročanje o napaki vbrizgavanja SQL, ki je bila odkrita tudi na partnerskem portalu Steam.
Priporočila urednikov
- Trenutno lahko med poletno razprodajo Steam dobite 20 % popust na Steam Deck
- Posodobljena mobilna aplikacija Steam omogoča prenos iger iz vašega telefona
- Ste prednaročili Steam Deck? Tu so prve igre Deck Verified, ki bi jih morali igrati
- Nova igra Portal spinoff prihaja na Steam Deck
- 3 razlogi, zakaj je Steam Deck ultimativni igralni dlančnik
Nadgradite svoj življenjski slogDigitalni trendi bralcem pomagajo slediti hitremu svetu tehnologije z vsemi najnovejšimi novicami, zabavnimi ocenami izdelkov, pronicljivimi uvodniki in enkratnimi vpogledi v vsebine.
