Хацкер је од вентила примио 20.000 долара за откривање парне грешке која генерише бесплатне парне кључеве

Игре / Хацкер је од вентила примио 20.000 долара за откривање парне грешке која генерише бесплатне парне кључеве 1 минут читања Стеам

Стеам



Валве’с Стеам је једна од најпопуларнијих и најуспешнијих платформи за дигиталну дистрибуцију на рачунару, тако да би имало смисла да компанија жели да је спречи. Истраживачу безбедности Артему Московском, који је пронашао грешку која би корисницима омогућила да се докопају функционалних кључева игре Стеам, плаћено је 20.000 долара за његово откриће.

„Овлашћени корисник могао је да преузме претходно генерисане ЦД кључеве за игру којој обично не би имао приступ“, Валве објашњава у ХацкерОне-у извештај .



Питање је Московски први пут открио још у августу, а Валве га је успео решити тек недавно. 11. августа Московском је исплаћена награда за грешку од 15.000 долара уз бонус од 5000 долара. Валве тврди да је овај начин генерисања кључева повезан са евиденцијама ревизије и да нема доказа да је неко злоупотребио ову грешку.



„Евиденције ревизије нису заобиђене употребом ове методе, а истрага тих евиденција ревизије није показала било какву претходну или текућу експлоатацију ове грешке.“



Говорећи са Регистар о свом проналаску, Московски каже, „Ова грешка је откривена случајно током истраживања функционалности веб апликације. Могао је да га користи било који нападач који је имао приступ порталу. “

Као што бисте вероватно претпоставили из велике исплате, ово је било врло озбиљно питање и Валвеу је требало најмање неколико недеља да се поправи. У једном случају, Московски је успео да набави 36.000 Стеам кључева за Портал 2, наслов који се продаје у Стеам продавници по цени од 9,99 УСД.

„Да би се искористила рањивост, било је потребно поднети само један захтев. Успео сам да заобиђем верификацију власништва над игром променом само једног параметра. После тога бих могао да унесем било који ИД у други параметар и добијем било који скуп кључева, ” наставља истраживач.



Извештај ХацкерОне који детаљно описује рањивост објављен је тек недавно 31. октобра. Ознаке буг пара