Steam
Valve’s Steam je ena najbolj priljubljenih in najuspešnejših platform za digitalno distribucijo na osebnem računalniku, zato bi bilo smiselno, da bi ga podjetje želelo obdržati brez napak. Varnostni raziskovalec Artem Moskowsky, ki je našel napako, ki bi uporabnikom omogočila, da se dokopljejo do delujočih igralnih ključev Steam, je za njegovo najdbo prejel 20.000 USD.
'Preverjeni uporabnik je lahko prenesel predhodno ustvarjene CD-ključe za igro, do katere običajno ne bi imel dostopa,' Valve pojasnjuje v HackerOne poročilo .
Težavo je Moskowsky prvič odkril avgusta, Valve pa jo je uspel rešiti šele pred kratkim. 11. avgusta je Moskowsky prejel nagrado v višini 15.000 ameriških dolarjev s 5000 USD bonusa. Valve trdi, da je ta način ustvarjanja ključev vezan na dnevnike revizije in da ni dokazov, da bi nekdo zlorabil to napako.
'S to metodo revizijskih dnevnikov ni bilo zaobiti in preiskava teh revizijskih dnevnikov ni pokazala nobenega predhodnega ali stalnega izkoriščanja te napake.'
Govorim z Register o svoji najdbi, Moskowsky pravi, »Ta napaka je bila naključno odkrita med raziskovanjem funkcionalnosti spletne aplikacije. Lahko bi ga uporabil vsak napadalec, ki je imel dostop do portala. '
Kot bi verjetno uganili po velikem izplačilu, je bilo to zelo resno vprašanje in Valve je potreboval vsaj nekaj tednov, da ga popravi. V enem primeru je Moskowskyju uspelo pridobiti 36.000 ključev Steam za Portal 2, naslov, ki je v trgovini Steam na voljo za 9,99 USD.
»Za izkoriščanje ranljivosti je bilo treba vložiti le eno zahtevo. Preverjanja lastništva igre mi je uspelo zaobiti s spremembo samo enega parametra. Po tem sem lahko v drug parameter vnesel kateri koli ID in dobil poljuben nabor ključev, ' nadaljuje raziskovalec.
Poročilo HackerOne, ki podrobno opisuje ranljivost, je bilo objavljeno šele pred kratkim, 31. oktobra. Oznake napaka para
