Хакер знайшов баг в Steam, який розблоковує безкоштовні ігри, і отримав $20 тис. за повідомлення про нього

Дослідник безпеки Артем Московський знайшов баг в Steam, який давав йому доступ до нескінченної кількості безкоштовних ключів для будь-якої гри на платформі цифрової дистрибуції, але замість того, щоб зловживати експлоітом, він повідомив про це компанії Valve за винагороду в $20 000.

Московський розповів виданню The Register, що випадково виявив уразливість під час перегляду партнерського порталу Steam, який є веб-сайтом, де розробники керують іграми, що можуть бути завантажені на платформу. Дослідник безпеки, який зробив кар’єру мисливця за помилками, помітив, що можна було легко змінити параметри API-запиту, який надавав йому ключі активації для певних ігор.

API дозволяє розробникам отримувати ліцензійні ключі для своїх ігор, які вони потім можуть передавати геймерам. Однак, як зазначив Московський, цим міг зловживати зловмисник, який має доступ до партнерського порталу Steam, щоб згенерувати нескінченну кількість ключів активації для будь-якої гри в Steam. Також досить легко видати себе за розробника, щоб отримати доступ до партнерського порталу, тому скористатися уразливістю міг практично будь-хто.

• Google тепер підтримує мої жахливі звички в браузері, і мені це подобається
• Вам потрібно почати використовувати ці 5 прихованих функцій Xbox Series X
• Gotham Knights не можна грати в Steam після останнього оновлення

Московський сказав, що він ввів випадковий рядок в запит API, щоб перевірити серйозність помилки. Після цього він отримав 36 000 ключів активації для Portal 2, яка продається в Steam за ціною $10, на загальну суму близько $360 000 всього за одну команду.

Зараз баг Steam зафіксований на сайті HackerOne, де можна побачити, що Московський повідомив про експлойт в Valve 7 серпня. Valve знадобилося всього кілька днів, щоб залатати вразливість і нагородити Московського баунті в розмірі $15 000 і бонусом у розмірі $5 000.

Valve пощастило, що експлойт був виявлений таким чесним хакером, як Московський. Винагорода в $20 000 для Московського мізерна в порівнянні з можливими втратами, які міг би понести Steam, якби баг широко використовувався піратами для захоплення безкоштовних ключів активації для кожної гри на платформі.

Вражає те, що це не найбільша винагорода, яку Московський отримав від Valve. У липні дослідник безпеки був нагороджений $25 000 за повідомлення про баг SQL-ін’єкції, який також був виявлений на партнерському порталі Steam.

Рекомендації редакції

• Nvidia вбиває GameStream на Shield, вказуючи користувачам на Steam
• Blaseball повертається в січні зі спеціальним мобільним додатком
• Цей моторошний додаток для Mac може записувати кожну мить вашого життя в мережі
• Valve тестує новий режим великих зображень у Steam. Ось як його випробувати
• Новий засіб для чищення ПК від Microsoft – це просто замаскована реклама Edge?

Source: digitaltrends.com