Истраживач безбедности Артем Московски пронашао је Стеам грешку која му је омогућила приступ бескрајним бесплатним кључевима за било коју игру на платформи за дигиталну дистрибуцију, али уместо да злоупотреби експлоатацију, он је то пријавио Вентил за награду од 20.000 долара.
Московски је за Тхе Регистер рекао да је случајно откривено рањивост док прегледате Стеам партнерски портал, који је веб локација на којој програмери управљају играма које се могу преузети на платформи. Истраживач безбедности, који је направио каријеру као ловац на грешке, приметио је да је лако променити параметре АПИ захтева, који му је дао кључеве за активацију за одређене игре.
Препоручени видео снимци
АПИ омогућава програмерима да набаве лиценцне кључеве за своје игре, које онда могу да пренесу играчима. Међутим, како је истакао Московски, нападач који има приступ порталу Стеам партнера могао је да га злоупотреби да генерише бесконачан број кључева за активацију за било коју игру на Стеам. Такође је прилично лако представљати се као програмер да бисте добили приступ партнерском порталу, тако да је практично свако могао да искористи ову рањивост.
Повезан
- Испробајте ових 6 одличних, бесплатних демо игрица за рачунар током Стеам Нект Фест-а
- Зашто сам продао свој лаптоп за игре да бих купио Стеам Децк
- Стеам Децк вс. Игре у облаку: како се упоређују?
Московски је рекао да је у АПИ захтев унео насумични стринг да провери озбиљност грешке. Тада је добио 36.000 активационих кључева за Портал 2, који се продаје по цени од 10 долара на Стеам-у, за укупну вредност од око 360.000 долара у само једној команди.
Стеам грешка је сада била снимљено на веб-сајту за награђивање грешака ХацкерОне, где се може видети да је Московски пријавио експлоатацију Валвеу 7. августа. Валвеу је требало само неколико дана да поправи рањивост и додели Московског награду од 15.000 долара и бонус од 5.000 долара.
Валве има срећу што је експлоатацију открио поштени хакер попут Московског. Награда од 20.000 долара за Московског је мала у поређењу са могућим губицима које би Стеам имао патио ако су пирати нашироко користили грешку за преузимање бесплатних кључева за активацију за сваку игру на платформа.
Импресивно, ово није највећа награда коју је Московски добио од Валвеа. У јулу је истраживач безбедности добио 25.000 долара за пријављивање грешке у СКЛ ињекцији, која је такође откривена на порталу Стеам партнера.
Препоруке уредника
- Можете добити Стеам Децк за 20% попуста управо сада током Стеам летње распродаје
- Ажурирана мобилна апликација Стеам вам омогућава преузимање игара са телефона
- Да ли сте унапред наручили Стеам Децк? Ево првих Децк Верифиед игрица које треба да играте
- Нова спинофф игра Портал стиже на Стеам Децк
- 3 разлога зашто је Стеам Децк врхунски ручни уређај за игре
Надоградите свој животни стилДигитални трендови помажу читаоцима да прате убрзани свет технологије са свим најновијим вестима, забавним рецензијама производа, проницљивим уводницима и јединственим кратким прегледима.
