Hacker rep 20.000 dòlars de Valve per descobrir un error de vapor que genera claus de vapor gratuïtes

Vapor

Valve’s Steam és una de les plataformes de distribució digital més populars i amb èxit del PC, per la qual cosa tindria sentit que l’empresa voldria mantenir-lo lliure d’errors. L’investigador de seguretat Artem Moskowsky, que va trobar un error que permetia als usuaris posar les mans en funcionament de les claus del joc Steam, va rebre 20.000 dòlars per la seva troballa.

'Un usuari autenticat podria descarregar claus de CD generades prèviament per a un joc al qual normalment no tindrien accés', Valve explica a HackerOne informe .

Moskowsky va descobrir el problema per primera vegada a l’agost i Valve va aconseguir resoldre-ho recentment. L'11 d'agost, Moskowsky va rebre una recompensa d'errors de 15.000 dòlars amb una bonificació de 5.000 dòlars. Valve afirma que aquest mètode de generació de claus està lligat als registres d’auditoria i que no hi ha evidència que algú abusi d’aquest error.

'Els registres d'auditoria no es van passar per alt mitjançant aquest mètode i una investigació d'aquests registres d'auditoria no va mostrar cap explotació prèvia o continuada d'aquest error'.

Parlant amb El Registre sobre la seva troballa, diu Moskowsky, “Aquest error es va descobrir a l'atzar durant l'exploració de la funcionalitat d'una aplicació web. Podria haver estat utilitzat per qualsevol atacant que tingués accés al portal '.

Com probablement suposareu pel gran pagament, aquest va ser un problema molt greu i Valve va trigar almenys un parell de setmanes a corregir-lo. En un cas, Moskowsky havia aconseguit adquirir 36.000 claus de Steam per a Portal 2, un títol que es ven a 9,99 dòlars a la botiga de Steam.

“Per explotar la vulnerabilitat, només calia fer una sol·licitud. He aconseguit evitar la verificació de la propietat del joc canviant només un paràmetre. Després d'això, podria introduir qualsevol identificador en un altre paràmetre i obtenir qualsevol conjunt de claus '. continua la investigadora.