12
13.11.2018, 18:50Lektura na 2 minuty

Błąd Steama pozwalał generować nielimitowane klucze do gier

Niejaki Artem Moskowsky zarobił na luce w zabezpieczeniach platformy Valve 20 tysięcy dolarów.


Jakub „rajmund” Gańko

Przez jakiś czas Steam pozwalał wygenerować klucz aktywacyjny dowolnej gry dostępnej w katalogu sklepu. Wystarczyło mieć dostęp do serwisu partner.steamgames.com, gdzie twórcy i wydawcy zarządzają swoimi tytułami na platformie Valve. Zmieniając parametr w żądaniu API, dowolny uwierzytelniony użytkownik mógł dotrzeć do wygenerowanych uprzednio kluczy.

Błąd został odkryty przez Artema Moskowsky’ego, który uzyskał w ten sposób 36 tysięcy kluczy do gry Portal 2. Dziś już chętnie opowiada, że na lukę natknął się przez przypadek.


Sprawdzałem możliwości aplikacji sieciowej. Ten błąd mógł wykorzystać każdy, kto tylko miał dostęp do portalu. Wystarczyło jedno odpowiednie zapytanie. Po prostu zmieniłem jeden parametr i udało mi się obejść system weryfikacji posiadania gry. Potem już tylko dodawałem dowolne ID w kolejnych parametrach, by uzyskać dowolny komplet kluczy.



Choć Moskowsky dokonał tego ciekawego odkrycia jeszcze w sierpniu, kilkumiesięczne milczenie o całej sprawie było mu całkiem na rękę. Bynajmniej nie dlatego, że chciał wzbogacić się na wykorzystywaniu opisanej luki – nasz bohater zachował się bowiem bardzo praworządnie i zgłosił problem bezpośrednio do Valve. Otrzymał za to 15 tysięcy dolarów. Kolejne pięć tysięcy dostał za dyskretne podejście do tematu i niepuszczanie pary z ust aż do końca października. Firma Gabe’a Newella miała dzięki temu dość czasu, by uporać się z problemem. Według badań samego Moskowsky’ego nikt nie zdążył wykorzystać błędu Steama.

Historia zakończyła się więc szczęśliwie dla wszystkich stron. W dzisiejszych czasach nie powinna jednak nikogo dziwić. Najwięksi internetowi giganci pokroju Google’a czy Facebooka od dawna mają w zwyczaju płacić ludziom za podobne znaleziska. Kwoty, jakie można w ten sposób otrzymać, mogą zapewnić całkiem godziwe życie. Wie o tym doskonale sam Artem Moskowsky, który żyje właśnie z wynajdywania luk bezpieczeństwa. Zaledwie miesiąc wcześniej otrzymał od Steama 25 tysięcy dolarów za zidentyfikowanie podatności na atak typu SQL Injection. Może warto następnym razem odpalić Steama w poszukiwaniu podobnych usterek zamiast zarywać kolejną noc na graniu?


Czytaj dalej

Redaktor
Jakub „rajmund” Gańko

Czarna owca rodu Belmontów, szatniarz w Lakeview Hotel, włóczęga z Shady Sands, dawny szef ochrony Sarif Industries, wielokrotny zabójca Crawmeraksa, tropiciel ze starego Yharnam, legenda Night City.

Profil
Wpisów1800

Obserwujących9

Dyskusja

  • Dodaj komentarz
  • Najlepsze
  • Najnowsze
  • Najstarsze