Nakatanggap ang Hacker ng $ 20,000 Mula sa Valve Para sa Pagtuklas ng Steam Bug Na Bumubuo ng Libreng Mga Steam Key

Balita
Mga Laro / Nakatanggap ang Hacker ng $ 20,000 Mula sa Valve Para sa Pagtuklas ng Steam Bug Na Bumubuo ng Libreng Mga Steam Key 1 minuto basahin Singaw

Singaw



Ang Valve's Steam ay isa sa pinakatanyag at matagumpay na digital na platform ng pamamahagi sa PC, kaya makatuwiran na nais ng kumpanya na panatilihing libre ito sa bug. Ang mananaliksik sa seguridad na si Artem Moskowsky, na nakakita ng isang bug na magbibigay-daan sa mga gumagamit na magamit ang mga key ng laro ng Steam, ay binayaran ng $ 20,000 para sa kanyang nahanap.

'Ang isang napatunayan na gumagamit ay maaaring mag-download ng mga dati nang nabuong mga key ng CD para sa isang laro na hindi nila karaniwang ma-access,' Ipinaliwanag ng Valve sa HackerOne ulat .



Ang isyu ay unang natuklasan ni Moskowsky noong Agosto, at pinamamahalaang lutasin ito ng Valve kamakailan lamang. Noong ika-11 ng Agosto, si Moskowsky ay binayaran ng isang bug na bounty na $ 15,000 na may $ 5000 na bonus. Sinasabi ng Valve na ang pamamaraang ito ng pagbuo ng mga susi ay nakatali sa mga tala ng pag-audit, at walang katibayan ng isang taong umaabuso sa bug na ito.



'Ang mga log ng audit ay hindi na-bypass gamit ang pamamaraang ito, at ang isang pagsisiyasat sa mga log ng audit ay hindi nagpakita ng anumang nauna o patuloy na pagsasamantala sa bug na ito.'



Nagsasalita kay Ang rehistro tungkol sa kanyang nahanap, sabi ni Moskowsky, 'Ang bug na ito ay natuklasan nang sapalaran sa panahon ng paggalugad ng pag-andar ng isang web application. Maaari itong magamit ng sinumang umaatake na may access sa portal. '

Tulad ng malamang na hulaan mo mula sa malaking bayad, ito ay isang napaka-seryosong isyu at tumagal ng Valve ng hindi bababa sa ilang linggo upang mag-patch. Sa isang kaso, nakakuha ang Moskowsky ng 36,000 mga Steam key para sa Portal 2, isang pamagat na ibinebenta ng $ 9.99 sa tindahan ng Steam.

'Upang pagsamantalahan ang kahinaan, kinakailangan na gumawa lamang ng isang kahilingan. Nagawa kong lampasan ang pagpapatunay ng pagmamay-ari ng laro sa pamamagitan ng pagbabago ng isang parameter lamang. Pagkatapos nito, maaari akong maglagay ng anumang ID sa isa pang parameter at makakuha ng anumang hanay ng mga key, ” patuloy ng mananaliksik.



Ang ulat ng HackerOne na nagdedetalye sa kahinaan ay naisapubliko kamakailan lamang noong Oktubre 31. Mga tag bug singaw