Hacker reçoit 20000 $ de Valve pour avoir découvert un bogue Steam qui génère des clés Steam gratuites

Hacker reçoit 20000 $ de Valve pour avoir découvert un bug Steam qui génère des clés Steam gratuites

Jeux / Hacker reçoit 20000 $ de Valve pour avoir découvert un bug Steam qui génère des clés Steam gratuites 1 minute de lecture Vapeur

Vapeur

Valve’s Steam est l’une des plates-formes de distribution numérique les plus populaires et les plus réussies sur PC, il serait donc logique que la société veuille la garder sans bogue. Le chercheur en sécurité Artem Moskowsky, qui a trouvé un bogue permettant aux utilisateurs de mettre la main sur des clés de jeu Steam fonctionnelles, a été payé 20000 $ pour sa découverte.

'Un utilisateur authentifié peut télécharger des clés de CD précédemment générées pour un jeu auquel il n'aurait normalement pas accès,' Valve explique dans le HackerOne rapport .

Le problème a été découvert pour la première fois par Moskowsky en août et Valve n'a réussi à le résoudre que récemment. Le 11 août, Moskowsky a reçu une prime de bogue de 15 000 $ avec un bonus de 5 000 $. Valve affirme que cette méthode de génération de clés est liée aux journaux d'audit et qu'il n'y a aucune preuve que quelqu'un abuse de ce bogue.

«Les journaux d'audit n'ont pas été contournés à l'aide de cette méthode, et une enquête sur ces journaux d'audit n'a révélé aucune exploitation antérieure ou en cours de ce bogue.»

Parler avec Le registre à propos de sa découverte, dit Moskowsky, «Ce bug a été découvert au hasard lors de l'exploration de la fonctionnalité d'une application web. Il aurait pu être utilisé par n'importe quel attaquant ayant accès au portail. »

Comme vous le devineriez probablement d'après le gros paiement, c'était un problème très grave et il a fallu au moins quelques semaines à Valve pour le corriger. Dans un cas, Moskowsky avait réussi à acquérir 36000 clés Steam pour Portal 2, un titre au prix de 9,99 $ sur le magasin Steam.

«Pour exploiter la vulnérabilité, il n'a fallu qu'une seule requête. J'ai réussi à contourner la vérification de la propriété du jeu en ne modifiant qu'un seul paramètre. Après cela, je pourrais entrer n'importe quel identifiant dans un autre paramètre et obtenir n'importe quel jeu de clés. » le chercheur continue.

Le rapport HackerOne détaillant la vulnérabilité n'a été publié que récemment, le 31 octobre. Mots clés punaise vapeur