Güvenlik araştırmacısı Artem Moskowsky, kendisine sınırsız ücretsiz anahtara erişim sağlayan bir Steam hatası buldu. dijital dağıtım platformundaki herhangi bir oyunu, ancak istismarı kötüye kullanmak yerine bunu bildirdi Kapak 20.000 dolarlık bir ödül için.
Moskowsky The Register'a kazara yaptığını söyledi keşfetti Geliştiricilerin platforma indirilebilecek oyunları yönettiği web sitesi olan Steam ortak portalında gezinirken güvenlik açığı. Kariyerini hata avcısı olarak yapan güvenlik araştırmacısı, kendisine belirli oyunlar için etkinleştirme anahtarları veren API isteğinin parametrelerini değiştirmenin kolay olduğunu fark etti.
Önerilen Videolar
API, geliştiricilerin oyunları için lisans anahtarları almasına olanak tanır ve bunları daha sonra oyunculara aktarabilirler. Ancak Moskowsky'nin belirttiği gibi, Steam ortak portalına erişimi olan bir saldırgan tarafından, herhangi bir oyun için sonsuz sayıda etkinleştirme anahtarı oluşturmak amacıyla kötüye kullanılmış olabilir. Buhar. Ortak portalına erişim sağlamak için geliştirici gibi davranmak da oldukça kolaydır; dolayısıyla pratikte herkes bu güvenlik açığından yararlanabilirdi.
İlgili
- Steam Next Fest sırasında bu 6 mükemmel, ücretsiz PC oyunu demosunu deneyin
- Steam Deck satın almak için oyun dizüstü bilgisayarımı neden sattım?
- Buhar Destesi vs. Bulut oyunları: Nasıl karşılaştırılırlar?
Moskowsky, hatanın ciddiyetini kontrol etmek için API isteğine rastgele bir dize girdiğini söyledi. Daha sonra 36.000 aktivasyon anahtarı aldı. Portal 2Steam'de 10$'a satılan, tek komutta toplam değeri yaklaşık 360.000$'a ulaşan bir oyun.
Steam hatası artık giderildi kaydedildi Moskowsky'nin bu açığı 7 Ağustos'ta Valve'a bildirdiği görülebilen hata ödül web sitesi HackerOne'da. Valve'ın güvenlik açığını düzeltmesi ve Moskowsky'yi 15.000 dolar ödül ve 5.000 dolar bonusla ödüllendirmesi yalnızca birkaç gün sürdü.
Valve, istismarın Moskowsky gibi dürüst bir bilgisayar korsanı tarafından keşfedildiği için şanslı. Moskowsky'ye verilen 20.000$'lık ödül, Steam'in olası kayıplarıyla karşılaştırıldığında çok küçük kalıyor Bu hatanın korsanlar tarafından internetteki her oyun için ücretsiz aktivasyon anahtarlarını ele geçirmek amacıyla yaygın olarak kullanılması durumunda sıkıntı yaşanacaktır. platformu.
Etkileyici bir şekilde bu, Moskowsky'nin Valve'den aldığı en büyük ödül değil. Temmuz ayında güvenlik araştırmacısı, Steam ortak portalında da keşfedilen bir SQL enjeksiyon hatasını bildirdiği için 25.000 $ ödül aldı.
Editörlerin Önerileri
- Steam Yaz İndirimi sırasında şu anda %20 indirimle bir Steam Destesi alabilirsiniz
- Güncellenen Steam mobil uygulaması, telefonunuzdan oyun indirmenize olanak tanır
- Steam Deck'in ön siparişini mi verdiniz? İşte oynamanız gereken ilk Deste Onaylı oyunlar
- Steam Deck'e yeni bir Portal yan oyunu geliyor
- Steam Deck'in elde taşınır oyunlarda en üst düzeyde olmasının 3 nedeni
Yaşam tarzınızı yükseltinDigital Trends, en son haberler, eğlenceli ürün incelemeleri, anlayışlı başyazılar ve türünün tek örneği olan ön incelemelerle okuyucuların teknolojinin hızlı tempolu dünyasını takip etmelerine yardımcı olur.
