Hacker modtager $ 20.000 fra ventil for at opdage Steam Bug, der genererer gratis dampnøgler

Damp

Valve's Steam er en af ​​de mest populære og succesrige digitale distributionsplatforme på pc'en, så det ville være fornuftigt, at virksomheden ønsker at holde det fejlfrit. Sikkerhedsforsker Artem Moskowsky, der fandt en fejl, der gjorde det muligt for brugerne at få fat i fungerende Steam-spilnøgler, blev betalt $ 20.000 for sit fund.

'En godkendt bruger kunne downloade tidligere genererede cd-nøgler til et spil, som de normalt ikke ville have adgang til,' Valve forklarer i HackerOne rapport .

Problemet blev først opdaget af Moskowsky tilbage i august, og Valve formåede først at løse det. Den 11. august blev Moskowsky betalt en bugpræmie på $ 15.000 med en $ 5000 bonus. Valve hævder, at denne metode til generering af nøgler er bundet til revisionslogfiler, og at der ikke er noget bevis for, at nogen misbruger denne fejl.

'Revisionslogfiler blev ikke omgået ved hjælp af denne metode, og en undersøgelse af disse revisionslogfiler viste ingen tidligere eller løbende udnyttelse af denne fejl.'

Taler med Registret om hans fund, siger Moskowsky, “Denne fejl blev tilfældigt opdaget under udforskningen af ​​funktionaliteten i en webapplikation. Det kunne have været brugt af enhver angriber, der havde adgang til portalen. ”

Som du sandsynligvis ville gætte fra den store udbetaling, var dette et meget alvorligt problem, og det tog Valve mindst et par uger at lappe. I et tilfælde havde Moskowsky formået at erhverve 36.000 Steam-nøgler til Portal 2, en titel, der sælges for $ 9,99 på Steam-butikken.

”For at udnytte sårbarheden var det nødvendigt kun at fremsætte en anmodning. Det lykkedes mig at omgå verifikationen af ​​ejerskab af spillet ved kun at ændre en parameter. Derefter kunne jeg indtaste ethvert id i en anden parameter og få ethvert sæt nøgler, ” fortsætter forskeren.