Säkerhetsforskaren Artem Moskowsky hittade en Steam-bugg som gav honom tillgång till oändliga gratisnycklar för något spel på den digitala distributionsplattformen, men istället för att missbruka utnyttjandet, rapporterade han det till Ventil för en belöning på 20 000 USD.
Moskowsky berättade för The Register att han av misstag upptäckt sårbarheten när de surfar igenom Steams partnerportal, som är webbplatsen där utvecklare hanterar spel som kan laddas ner på plattformen. Säkerhetsforskaren, som har gjort karriär som buggjägare, märkte att det var lätt att ändra parametrarna för en API-förfrågan, vilket gav honom aktiveringsnycklar för vissa spel.
Rekommenderade videor
API: et tillåter utvecklare att skaffa licensnycklar för sina spel, som de sedan kan ge vidare till spelare. Men som Moskowsky påpekade kunde det ha missbrukats av en angripare som har tillgång till Steam-partnerportalen för att generera ett oändligt antal aktiveringsnycklar för vilket spel som helst på Ånga. Det är också ganska enkelt att posera som utvecklare för att få tillgång till partnerportalen, så praktiskt taget vem som helst kunde ha utnyttjat sårbarheten.
Relaterad
- Prova dessa 6 utmärkta, gratis PC-speldemos under Steam Next Fest
- Varför jag sålde min speldator för att köpa ett Steam Deck
- Steam Deck vs. molnspel: Hur jämför de?
Moskowsky sa att han skrev in en slumpmässig sträng i API-begäran för att kontrollera hur allvarligt felet är. Han fick då 36 000 aktiveringsnycklar för Portal 2, som säljs för $10 på Steam, för ett totalt värde av cirka $360 000 på bara ett kommando.
Steam-felet har nu varit spelade in på bug bounty-webbplatsen HackerOne, där det kan ses att Moskowsky rapporterade utnyttjandet till Valve den 7 augusti. Valve tog bara några dagar att åtgärda sårbarheten och tilldela Moskowsky en 15 000 dollar i pris och en bonus på 5 000 dollar.
Valve har turen att utnyttjandet upptäcktes av en ärlig hackare som Moskowsky. Belöningen på $20 000 till Moskowsky är minimal jämfört med de möjliga förlusterna som Steam skulle ha drabbats om buggen användes flitigt av pirater för att ta gratis aktiveringsnycklar för varje spel på plattform.
Imponerande nog är detta inte den största belöningen som Moskowsky har fått från Valve. I juli tilldelades säkerhetsforskaren $25 000 för att ha rapporterat en SQL-injektionsbugg, som också upptäcktes på Steams partnerportal.
Redaktörens rekommendationer
- Du kan få en Steam Deck med 20 % rabatt just nu under Steam Summer Sale
- Uppdaterad Steam-mobilapp låter dig ladda ner spel från din telefon
- Förbeställt ett Steam Deck? Här är de första Deck Verified-spelen du bör spela
- Ett nytt portalspinoff-spel kommer till Steam Deck
- 3 skäl till varför Steam Deck är den ultimata spelhanddatorn
Uppgradera din livsstilDigitala trender hjälper läsare att hålla koll på den snabba teknikvärlden med alla de senaste nyheterna, roliga produktrecensioner, insiktsfulla redaktioner och unika smygtittar.
