Zgłoś błąd

X

Zanim wyślesz zgłoszenie, upewnij się że przyczyną problemów nie jest dodatek blokujący reklamy.

Typ zgłoszenia
Treść zgłoszenia
Twój email (opcjonalnie)
Nie wypełniaj tego pola
.
Załóż konto
EnglishDeutschРусскийFrançaisEspañol中国

Valve wypłaciło 20 tys. dolarów nagrody za wykrycie luki w Steam

Bogdan Stech | 13-11-2018 10:30 |

Valve wypłaciło 20 tys. dolarów nagrody za wykrycie luki w Steam Internauta używający nicku Artem (moskowsky) odkrył krytyczną lukę w systemie Steam. Umożliwiała mu ona, w bardzo łatwy sposób, wygenerowanie dowolnej ilości legalnych kluczy do dowolnej gry dostępnej w serwisie. Co ciekawe nie potrzeba było do tego ani specjalnej wiedzy, ani umiejętności, a do odkrycia doszło całkiem przypadkowo podczas przeglądania Steam z uprawnieniami partnera sklepu. Dokładniej, była to część serwisu, której deweloperzy używają do zarządzania grami, które udostępniają do pobrania ze Steam. Tam też mogą uzyskać klucze licencyjne do swoich tytułów, które na przykład zostaną rozdane graczom w givewayu czy przekazane innym sklepom.

Valve stwierdziło, że zbadanie rejestrów i baz danych nie wykazało by ktokolwiek wykorzystał zgłoszony błąd.

Valve wypłaciło 20 tys. dolarów nagrody za wykrycie luki w Steam  [3]

Artem (moskowsky) zauważył, że dość łatwo jest zmienić parametry w żądaniu wysłanym API i otrzymać klucze aktywacyjne dla dowolnej, wybranej gry. "Ten błąd został odkryty przypadkowo podczas eksploracji funkcjonalności aplikacji internetowej. Mógł go użyć każdy kto miał dostęp do portalu" - wyjaśnił Artem (moskowsky) w The Register. "Udało mi się ominąć weryfikację własności gry poprzez zmianę tylko jednego parametru, po czym mogłem wprowadzić dowolny identyfikator do innego parametru i uzyskać dowolny zestaw kluczy." Odkryta luka znajdowała się w API pod adresem partner.steamgames.com/partnercdkeys/assignkeys/.

Steam prawdę ci powie: pokaże ile pieniędzy wydałeś na gry

Valve wypłaciło 20 tys. dolarów nagrody za wykrycie luki w Steam  [2]

W jednym przypadku Artem wygenerował 36 000 kluczy aktywacyjnych dla Portalu 2. Nie zachował ich jednak, a zgłosił problem poprzez HackerOne. Błędy w oprogramowaniu zostały naprawione. Valve przyznało nagrodę w wysokości 15000 dolarów, a także 5000 premii. Choć bug został zgłoszony w sierpniu, a nagroda wypłacona błyskawicznie, to dopiero kilka dni temu sprawa ujrzała światło dzienne. W lipcu Artem (moskowsky) otrzymał 25 000 dolarów za wykrycie luki podatnej na SQL Injection - także w serwisie dla partnerów Steam.

Źródło: The Register
0
Zgłoś błąd
Liczba komentarzy: 19

Komentarze:

x Wydawca serwisu PurePC.pl informuje, że na swoich stronach www stosuje pliki cookies (tzw. ciasteczka). Kliknij zgadzam się, aby ta informacja nie pojawiała się więcej. Kliknij polityka cookies, aby dowiedzieć się więcej, w tym jak zarządzać plikami cookies za pośrednictwem swojej przeglądarki.