Na pari
Valve’s Steam jedna je od najpopularnijih i najuspješnijih platformi za digitalnu distribuciju na računalu, pa bi imalo smisla da je tvrtka želi čuvati bez grešaka. Istraživač sigurnosti Artem Moskowsky, koji je pronašao grešku koja bi korisnicima omogućila da se dokopaju funkcionirajućih ključeva igre Steam, za svoj je nalaz plaćen 20.000 USD.
'Autentificirani korisnik mogao je preuzeti prethodno generirane CD ključeve za igru kojoj obično ne bi imao pristup,' Valve objašnjava u HackerOneu izvješće .
Problem je prvi put otkrio Moskowsky još u kolovozu, a Valve ga je uspio riješiti tek nedavno. 11. kolovoza Moskowskyu je dodijeljena nagrada u iznosu od 15.000 američkih dolara uz bonus od 5000 dolara. Valve tvrdi da je ovaj način generiranja ključeva povezan s zapisnicima revizije i da nema dokaza da je netko zloupotrijebio ovu grešku.
'Dnevnici revizije nisu zaobiđeni ovom metodom, a istraga tih dnevnika revizije nije pokazala nikakvo prethodno ili trajno iskorištavanje ove programske pogreške.'
Razgovarajući s Registar o svom pronalasku, Moskowsky kaže, “Ova je pogreška slučajno otkrivena tijekom istraživanja funkcionalnosti web aplikacije. Mogao ga je koristiti bilo koji napadač koji je imao pristup portalu. '
Kao što biste vjerojatno pogodili iz velike isplate, ovo je bio vrlo ozbiljan problem i Valveu je trebalo najmanje nekoliko tjedana da se popravi. U jednom je slučaju Moskowsky uspio nabaviti 36 000 Steam ključeva za Portal 2, naslov koji se u trgovini Steam prodaje po cijeni od 9,99 USD.
“Da bismo iskoristili ranjivost, bilo je potrebno podnijeti samo jedan zahtjev. Uspio sam zaobići provjeru vlasništva nad igrom promijenivši samo jedan parametar. Nakon toga bih mogao unijeti bilo koji ID u drugi parametar i dobiti bilo koji set ključeva, ' nastavlja istraživač.
Izvještaj HackerOne s pojedinostima o ranjivosti objavljen je tek nedavno 31. listopada. Oznake buba para
