Valve заплатили $20 000 хакеру, который обнаружил критический изъян в Steam
Артем Московский, который изучал систему безопасности Steam, нашел изъян, который позволял недобросовестным пользователям получить доступ к порталу разработчиков для генерации неограниченного количества игровых ключей. Но вместо того, чтобы получить копию каждой игры на платформе или генерировать тысячи ключей Crusader Kings 2, а затем продавать их, он привлек к себе внимание Valve и был вознагражден суммой в размере $20 000.
"Эта ошибка была обнаружена случайным образом при изучении функций веб-приложения”, – заявил Московский. “Она мог быть использована любым злоумышленником, имеющим доступ к порталу."
Для использования уязвимости достаточно было сделать всего один запрос. Мне удалось обойти проверку, изменив только один параметр, после чего я смог ввести любой идентификатор и получать любой набор ключей.
Для демонстрации серьезности проблемы, Московский сказал, что в какой-то момент он ввел случайную строку в запрос и в итоге получил 36 000 ключей активации для Portal 2. Если покупать эти ключи за их полную цену, то сумма составила бы 360 000 долларов. Представьте, что будет если продать эти игры с 95-процентной скидкой. У вас по-прежнему останется большая сумма, и при этом вы затратили на это минимум усилий. Вот почему Valve так щедро вознаградили его за находку.
Более подробную информацию о проблеме можно найти на сайте HackerOne, посвященном проблемам безопасности и поиску уязвимостей.
“Используя окончание /partnercdkeys/assignkeys/ на сайте partner.steamgames.com с определенными параметрами, аутентифицированный пользователь мог загрузить ранее созданные ключи для игр, которые недоступны для обычных пользователей”, – говорится в сообщении. “В журнале событий не было никаких данных об использовании данного изъяна в системе.”
На сайте уровень серьезности проблемы указан “критический”, о чем также сообщает красная полоска справа. Московский сообщил о проблеме еще 7 августа и получил свое вознаграждение в размере 20 000 долларов 10 августа. Также к этой сумме было добавлено еще 5 000 долларов в качестве бонуса.
Источник: genapilot.ru
