Valve wypłaciło 20 tys. dolarów nagrody za wykrycie luki w Steam

Internauta używający nicku Artem (moskowsky) odkrył krytyczną lukę w systemie Steam. Umożliwiała mu ona, w bardzo łatwy sposób, wygenerowanie dowolnej ilości legalnych kluczy do dowolnej gry dostępnej w serwisie. Co ciekawe nie potrzeba było do tego ani specjalnej wiedzy, ani umiejętności, a do odkrycia doszło całkiem przypadkowo podczas przeglądania Steam z uprawnieniami partnera sklepu. Dokładniej, była to część serwisu, której deweloperzy używają do zarządzania grami, które udostępniają do pobrania ze Steam. Tam też mogą uzyskać klucze licencyjne do swoich tytułów, które na przykład zostaną rozdane graczom w givewayu czy przekazane innym sklepom.

Valve stwierdziło, że zbadanie rejestrów i baz danych nie wykazało by ktokolwiek wykorzystał zgłoszony błąd.

Artem (moskowsky) zauważył, że dość łatwo jest zmienić parametry w żądaniu wysłanym API i otrzymać klucze aktywacyjne dla dowolnej, wybranej gry. "Ten błąd został odkryty przypadkowo podczas eksploracji funkcjonalności aplikacji internetowej. Mógł go użyć każdy kto miał dostęp do portalu" - wyjaśnił Artem (moskowsky) w The Register. "Udało mi się ominąć weryfikację własności gry poprzez zmianę tylko jednego parametru, po czym mogłem wprowadzić dowolny identyfikator do innego parametru i uzyskać dowolny zestaw kluczy." Odkryta luka znajdowała się w API pod adresem partner.steamgames.com/partnercdkeys/assignkeys/.

Steam prawdę ci powie: pokaże ile pieniędzy wydałeś na gry

W jednym przypadku Artem wygenerował 36 000 kluczy aktywacyjnych dla Portalu 2. Nie zachował ich jednak, a zgłosił problem poprzez HackerOne. Błędy w oprogramowaniu zostały naprawione. Valve przyznało nagrodę w wysokości 15000 dolarów, a także 5000 premii. Choć bug został zgłoszony w sierpniu, a nagroda wypłacona błyskawicznie, to dopiero kilka dni temu sprawa ujrzała światło dzienne. W lipcu Artem (moskowsky) otrzymał 25 000 dolarów za wykrycie luki podatnej na SQL Injection - także w serwisie dla partnerów Steam.