นักวิจัยด้านความปลอดภัย Artem Moskowsky พบข้อบกพร่องของ Steam ที่ทำให้เขาสามารถเข้าถึงคีย์ฟรีที่ไม่มีที่สิ้นสุด เกมใดๆ บนแพลตฟอร์มการเผยแพร่ดิจิทัล แต่แทนที่จะละเมิดช่องโหว่ เขารายงานให้ทราบ วาล์ว เพื่อรับรางวัล 20,000 ดอลลาร์
Moskowsky บอกกับ The Register ว่าเขาบังเอิญ ค้นพบ ช่องโหว่ขณะเรียกดูผ่านพอร์ทัลพันธมิตร Steam ซึ่งเป็นเว็บไซต์ที่ผู้พัฒนาจัดการเกมที่สามารถดาวน์โหลดได้บนแพลตฟอร์ม นักวิจัยด้านความปลอดภัยซึ่งประกอบอาชีพนักล่าแมลงสังเกตเห็นว่าการเปลี่ยนพารามิเตอร์ของคำขอ API เป็นเรื่องง่าย ซึ่งทำให้เขามีรหัสเปิดใช้งานสำหรับเกมบางเกม
วิดีโอแนะนำ
API ช่วยให้นักพัฒนาสามารถรับรหัสลิขสิทธิ์สำหรับเกมของพวกเขา ซึ่งพวกเขาสามารถส่งต่อให้กับเกมเมอร์ได้ อย่างไรก็ตาม ตามที่ Moskowsky ชี้ให้เห็น ผู้โจมตีอาจถูกโจมตีที่สามารถเข้าถึงพอร์ทัลพันธมิตร Steam เพื่อสร้างรหัสเปิดใช้งานจำนวนอนันต์สำหรับเกมใด ๆ บน ไอน้ำ. นอกจากนี้ยังค่อนข้างง่ายที่จะปลอมตัวเป็นนักพัฒนาเพื่อเข้าถึงพอร์ทัลพันธมิตร ดังนั้นใครๆ ก็สามารถใช้ประโยชน์จากช่องโหว่นี้ได้
ที่เกี่ยวข้อง
- ลองเดโมเกมพีซีที่ยอดเยี่ยมฟรีทั้ง 6 เกมระหว่าง Steam Next Fest
- เหตุใดฉันจึงขายแล็ปท็อปสำหรับเล่นเกมเพื่อซื้อ Steam Deck
- Steam Deck เทียบกับ เกมบนคลาวด์: เปรียบเทียบกันได้อย่างไร?
Moskowsky กล่าวว่าเขาป้อนสตริงสุ่มลงในคำขอ API เพื่อตรวจสอบความรุนแรงของข้อบกพร่อง จากนั้นเขาได้รับรหัสเปิดใช้งาน 36,000 รหัส พอร์ทัล 2ซึ่งขายในราคา 10 ดอลลาร์บน Steam มูลค่ารวมประมาณ 360,000 ดอลลาร์ในคำสั่งเดียว
ขณะนี้ข้อผิดพลาดของ Steam ได้รับการแก้ไขแล้ว บันทึก บนเว็บไซต์รางวัลบั๊ก HackerOne ซึ่งจะเห็นได้ว่า Moskowsky รายงานช่องโหว่นี้ต่อ Valve เมื่อวันที่ 7 สิงหาคม Valve ใช้เวลาเพียงไม่กี่วันในการแก้ไขช่องโหว่ และมอบรางวัลให้ Moskowsky ด้วยเงินรางวัล 15,000 ดอลลาร์ และโบนัส 5,000 ดอลลาร์
Valve โชคดีที่แฮ็กเกอร์ผู้ซื่อสัตย์อย่าง Moskowsky ค้นพบช่องโหว่นี้ รางวัล 20,000 ดอลลาร์สหรัฐฯ ให้กับ Moskowsky นั้นถือว่าน้อยมากเมื่อเทียบกับความสูญเสียที่เป็นไปได้ที่ Steam จะได้รับ ได้รับความเดือดร้อนหากโจรสลัดใช้ข้อผิดพลาดอย่างกว้างขวางเพื่อคว้ารหัสเปิดใช้งานฟรีสำหรับทุกเกมบน แพลตฟอร์ม.
น่าประหลาดใจที่นี่ไม่ใช่รางวัลใหญ่ที่สุดที่ Moskowsky ได้รับจาก Valve ในเดือนกรกฎาคม นักวิจัยด้านความปลอดภัยได้รับเงินรางวัล 25,000 ดอลลาร์สหรัฐฯ จากการรายงานข้อผิดพลาดในการแทรก SQL ซึ่งพบบนพอร์ทัลพันธมิตร Steam เช่นกัน
คำแนะนำของบรรณาธิการ
- คุณจะได้รับ Steam Deck ในราคาลด 20% ในช่วง Steam Summer Sale
- แอพมือถือ Steam ที่อัปเดตให้คุณดาวน์โหลดเกมจากโทรศัพท์ของคุณ
- สั่งซื้อ Steam Deck ล่วงหน้าแล้วหรือยัง? นี่คือเกม Deck Verified เกมแรกที่คุณควรเล่น
- เกมภาคแยกพอร์ทัลใหม่กำลังมาถึง Steam Deck
- 3 เหตุผลว่าทำไม Steam Deck จึงเป็นสุดยอดเกมพกพา
อัพเกรดไลฟ์สไตล์ของคุณDigital Trends ช่วยให้ผู้อ่านติดตามโลกแห่งเทคโนโลยีที่เปลี่ยนแปลงไปอย่างรวดเร็วด้วยข่าวสารล่าสุด รีวิวผลิตภัณฑ์สนุกๆ บทบรรณาธิการที่เจาะลึก และการแอบดูที่ไม่ซ้ำใคร
