Hackerul primește 20.000 de dolari de la Valve pentru descoperirea unui bug Steam care generează chei Steam gratuite

Știri
Jocuri / Hackerul primește 20.000 de dolari de la Valve pentru descoperirea unui bug Steam care generează chei Steam gratuite 1 minut citit Aburi

Aburi



Valve’s Steam este una dintre cele mai populare și de succes platforme de distribuție digitală de pe computer, așa că ar avea sens că compania ar dori să o păstreze fără erori. Cercetătorul în materie de securitate Artem Moskowsky, care a găsit un bug care ar permite utilizatorilor să pună mâna pe tastele de joc Steam funcționale, a fost plătit cu 20.000 de dolari pentru descoperirea sa.

cum se obține netflix pe televizoare non inteligente

„Un utilizator autentificat ar putea descărca cheile CD generate anterior pentru un joc la care nu ar avea acces în mod normal” Valve explică în HackerOne raport .



Problema a fost descoperită pentru prima dată de Moskowsky în august, iar Valve a reușit să o rezolve abia recent. Pe 11 august, lui Moskowsky i s-a plătit o recompensă de 15.000 de dolari cu un bonus de 5.000 de dolari. Valve susține că această metodă de generare a cheilor este legată de jurnalele de audit și că nu există dovezi că cineva abuzează de această eroare.



„Jurnalele de audit nu au fost ocolite folosind această metodă, iar o investigație a acestor jurnale de audit nu a arătat nicio exploatare anterioară sau continuă a acestei erori.”



Vorbind cu Registrul despre descoperirea sa, spune Moskowsky, „Această eroare a fost descoperită aleatoriu în timpul explorării funcționalității unei aplicații web. Ar fi putut fi folosit de orice atacator care avea acces la portal. ”

convertiți cda în mp3

Așa cum probabil ați ghici din plata mare, aceasta a fost o problemă foarte gravă și Valve a avut nevoie de cel puțin câteva săptămâni pentru a repara. Într-un caz, Moskowsky reușise să achiziționeze 36.000 de chei Steam pentru Portal 2, un titlu care se vinde cu 9,99 USD în magazinul Steam.

„Pentru a exploata vulnerabilitatea, a fost necesar să facem o singură cerere. Am reușit să ocolesc verificarea dreptului de proprietate asupra jocului schimbând un singur parametru. După aceea, aș putea introduce orice ID într-un alt parametru și să obțin orice set de chei ” continuă cercetătorul.



Raportul HackerOne care detaliază vulnerabilitatea a fost publicat abia recent pe 31 octombrie. Etichete gândac aburi