Hacker erhält 20.000 US-Dollar von Valve für die Entdeckung eines Steam-Fehlers, der kostenlose Steam-Keys generiert

Nachrichten
Spiele /. Hacker erhält 20.000 US-Dollar von Valve für die Entdeckung eines Steam-Fehlers, der kostenlose Steam-Keys generiert 1 Minute gelesen Dampf

Dampf



Valves Steam ist eine der beliebtesten und erfolgreichsten digitalen Vertriebsplattformen auf dem PC. Daher ist es sinnvoll, dass das Unternehmen es fehlerfrei hält. Der Sicherheitsforscher Artem Moskowsky, der einen Fehler gefunden hatte, mit dem Benutzer funktionierende Steam-Spielschlüssel in die Hände bekommen konnten, erhielt 20.000 US-Dollar für seinen Fund.

'Ein authentifizierter Benutzer kann zuvor generierte CD-Keys für ein Spiel herunterladen, auf das er normalerweise keinen Zugriff hat.' Valve erklärt in der HackerOne Bericht .



Das Problem wurde erstmals im August von Moskowsky entdeckt, und Valve konnte es erst kürzlich beheben. Am 11. August erhielt Moskowsky eine Bug-Prämie von 15.000 US-Dollar mit einem Bonus von 5.000 US-Dollar. Valve behauptet, dass diese Methode zum Generieren von Schlüsseln an Überwachungsprotokolle gebunden ist und dass es keine Hinweise darauf gibt, dass jemand diesen Fehler missbraucht.



'Überwachungsprotokolle wurden mit dieser Methode nicht umgangen, und eine Untersuchung dieser Überwachungsprotokolle ergab keine vorherige oder laufende Ausnutzung dieses Fehlers.'



Sprechen mit Das Register über seinen Fund, sagt Moskowsky, „Dieser Fehler wurde zufällig bei der Untersuchung der Funktionalität einer Webanwendung entdeckt. Es hätte von jedem Angreifer verwendet werden können, der Zugriff auf das Portal hatte. “

Wie Sie wahrscheinlich anhand der hohen Auszahlung erraten würden, war dies ein sehr ernstes Problem, und das Patchen von Valve dauerte mindestens ein paar Wochen. In einem Fall hatte Moskowsky es geschafft, 36.000 Steam-Schlüssel für Portal 2 zu erwerben, ein Titel, der im Steam-Store für 9,99 US-Dollar erhältlich ist.

„Um die Sicherheitsanfälligkeit auszunutzen, musste nur eine Anfrage gestellt werden. Ich habe es geschafft, die Überprüfung des Eigentums an dem Spiel zu umgehen, indem ich nur einen Parameter geändert habe. Danach konnte ich eine beliebige ID in einen anderen Parameter eingeben und einen beliebigen Schlüsselsatz erhalten. “ Der Forscher fährt fort.



Der HackerOne-Bericht über die Sicherheitsanfälligkeit wurde erst kürzlich am 31. Oktober veröffentlicht. Stichworte Fehler Dampf