Хакерът получава 20 000 долара от Valve за откриване на Steam Bug, който генерира безплатни парови ключове

Парна

Valve’s Steam е една от най-популярните и успешни платформи за дигитално разпространение на компютъра, така че би имало смисъл, че компанията би искала да я предпазва от грешки. Изследователят по сигурността Артем Московски, който откри грешка, която ще позволи на потребителите да се възползват от функциониращите ключове на Steam за игра, получи 20 000 долара за своята находка.

„Удостоверен потребител може да изтегли предварително генерирани CD ключове за игра, до която обикновено няма достъп,“ Valve обяснява в HackerOne доклад .

Проблемът е открит за първи път от Московски през август и Valve успя да го реши едва наскоро. На 11 август на Moskowsky беше изплатена награда за грешки от $ 15 000 с бонус от $ 5000. Valve твърди, че този метод за генериране на ключове е обвързан с дневници за одит и че няма доказателства някой да злоупотребява с тази грешка.

„Регистрите на одита не бяха заобиколени с помощта на този метод и разследването на тези одити не показа никаква предишна или текуща експлоатация на тази грешка.“

Говорейки с Регистърът за неговата находка, казва Московски, „Тази грешка беше открита произволно по време на проучването на функционалността на уеб приложение. Може да се използва от всеки нападател, който е имал достъп до портала. '

Както вероятно бихте предположили от голямото изплащане, това беше много сериозен проблем и на Valve бяха необходими поне няколко седмици, за да се поправи. В един случай Moskowsky е успял да придобие 36 000 ключове Steam за Portal 2, заглавие, което се продава за $ 9,99 в магазина Steam.

„За да се използва уязвимостта, беше необходимо да се направи само една заявка. Успях да заобиколя проверката на собствеността върху играта, като промених само един параметър. След това мога да въведа всеки идентификатор в друг параметър и да получа всякакъв набор от ключове, ' продължава изследователят.