Пар
Steam от Valve - одна из самых популярных и успешных платформ цифрового распространения на ПК, поэтому было бы логично, что компания хотела бы избавить ее от ошибок. Исследователю безопасности Артему Московскому, который обнаружил ошибку, позволяющую пользователям получить доступ к действующим игровым ключам Steam, заплатили за свою находку 20 000 долларов.
«Авторизованный пользователь может загрузить ранее сгенерированные ключи компакт-диска для игры, к которой он обычно не имеет доступа», Valve объясняет в HackerOne отчет .
Проблема была впервые обнаружена Московским еще в августе, и Valve удалось решить ее только недавно. 11 августа Московский получил награду за ошибку в размере 15 000 долларов с бонусом в 5000 долларов. Valve утверждает, что этот метод генерации ключей привязан к журналам аудита, и что нет никаких свидетельств того, что кто-то злоупотреблял этой ошибкой.
«Журналы аудита не были обойдены с помощью этого метода, и исследование этих журналов аудита не показало никакого предыдущего или текущего использования этой ошибки».
Разговаривая с Реестр о своей находке, говорит Московский, «Эта ошибка была обнаружена случайным образом во время исследования функциональности веб-приложения. Его мог использовать любой злоумышленник, имевший доступ к порталу ».
Как вы, наверное, догадались по крупным выплатам, это была очень серьезная проблема, и Valve потребовалось не менее пары недель, чтобы исправить это. В одном случае Московскому удалось приобрести 36 000 ключей Steam для Portal 2, игры, которая продается в магазине Steam за 9,99 долларов.
«Чтобы воспользоваться уязвимостью, нужно было сделать всего один запрос. Мне удалось обойти проверку владения игрой, изменив всего один параметр. После этого я мог ввести любой идентификатор в другой параметр и получить любой набор ключей », - продолжает исследователь.
Отчет HackerOne с подробным описанием уязвимости был опубликован только недавно, 31 октября. Теги ошибка пар
