Penggodam Menerima $ 20,000 Dari Injap Kerana Menemui Stim Bug yang Menjana Kekunci Steam Percuma

Kukus

Valve's Steam adalah salah satu platform pengedaran digital yang paling popular dan berjaya di PC, jadi masuk akal bahawa syarikat itu ingin menyimpannya tanpa bug. Penyelidik keselamatan Artem Moskowsky, yang menemui bug yang membolehkan pengguna menggunakan kunci permainan Steam yang berfungsi, dibayar $ 20,000 untuk penemuannya.

'Pengguna yang disahkan dapat memuat turun kunci CD yang dihasilkan sebelumnya untuk permainan yang biasanya tidak dapat mereka akses,' Valve menerangkan dalam HackerOne lapor .

Masalahnya pertama kali ditemui oleh Moskowsky pada bulan Ogos, dan Valve berjaya menyelesaikannya baru-baru ini. Pada 11 Ogos, Moskowsky dibayar bug $ 15,000 dengan bonus $ 5000. Valve mendakwa bahawa kaedah menghasilkan kunci ini berkaitan dengan log audit, dan bahawa tidak ada bukti seseorang menyalahgunakan pepijat ini.

'Log audit tidak dipintas menggunakan metode ini, dan penyelidikan log audit tersebut tidak menunjukkan eksploitasi bug ini sebelumnya atau terus berjalan.'

Bercakap dengan Daftar mengenai penemuannya, Moskowsky berkata, 'Bug ini ditemui secara rawak semasa penerokaan fungsi aplikasi web. Itu dapat digunakan oleh penyerang yang memiliki akses ke portal. '

Seperti yang anda jangkakan dari pembayaran yang besar, ini adalah masalah yang sangat serius dan memerlukan Valve sekurang-kurangnya beberapa minggu untuk menyelesaikannya. Dalam satu kes, Moskowsky berjaya memperoleh 36,000 kunci Steam untuk Portal 2, judul yang berharga $ 9,99 di kedai Steam.

'Untuk mengeksploitasi kerentanan, hanya perlu membuat satu permintaan. Saya berjaya memintas pengesahan pemilikan permainan dengan hanya menukar satu parameter. Selepas itu, saya dapat memasukkan ID apa pun ke parameter lain dan mendapatkan set kunci, ' penyelidik meneruskan.