Gőz
A Valve's Steam az egyik legnépszerűbb és legsikeresebb digitális terjesztési platform a PC-n, ezért lenne értelme, hogy a vállalat hibamentesnek akarja tartani. Artem Moskowsky biztonsági kutatónak, aki olyan hibát talált, amely lehetővé teszi a felhasználók számára, hogy kezükbe vegyék a működő Steam játékkulcsokat, 20 000 dollárt fizettek a leletéért.
'Egy hitelesített felhasználó letölthette a korábban létrehozott CD-kulcsokat egy játékhoz, amelyhez általában nem volt hozzáférése.' Valve magyarázza a HackerOne-t jelentés .
A kérdést először Moszkovszkij fedezte fel még augusztusban, a Valve pedig csak nemrégiben sikerült megoldania. Augusztus 11-én Moszkovszkijnak 15 000 dolláros bug fejdíjat fizettek 5000 dolláros bónusz mellett. A Valve azt állítja, hogy a kulcsok létrehozásának ez a módja naplózási naplókhoz van kötve, és nincs bizonyíték arra, hogy valaki visszaélne ezzel a hibával.
'Az ellenőrzési naplókat nem hagyták ki ezzel a módszerrel, és az ellenőrzési naplók vizsgálata nem mutatta ki a hiba előzetes vagy folyamatos kihasználását.'
Beszélgetés A regisztráció leletéről, mondja Moskowsky, „Ezt a hibát véletlenszerűen fedezték fel egy webalkalmazás funkcionalitásának feltárása során. Bármely támadó használhatta, aki hozzáfér a portálhoz. ”
Amint valószínűleg kitalálná a nagy kifizetésből, ez nagyon komoly kérdés volt, és a Valve legalább néhány hétbe telt a javításig. Az egyik esetben Moskowsky-nak 36 000 Steam-kulcsot sikerült megszereznie a Portal 2 számára, amely címet 9,99 dollárért lehet kiskereskedni a Steam áruházban.
„A biztonsági rés kihasználásához egyetlen kérelmet kellett benyújtani. Csak egy paraméter megváltoztatásával sikerült megkerülnem a játék tulajdonjogának igazolását. Ezt követően bármelyik azonosítót beírhatok egy másik paraméterbe, és megszerezhetem bármilyen kulcskészletet. ' folytatja a kutató.
A sérülékenységet részletező HackerOne jelentést csak nemrég, október 31-én tették közzé. Címkék bogár gőz
