Buhar
Valve's Steam, bilgisayardaki en popüler ve başarılı dijital dağıtım platformlarından biridir, bu nedenle şirketin hatasız tutmak isteyeceği mantıklı olacaktır. Kullanıcıların çalışan Steam oyun anahtarlarını ellerine almalarına izin verecek bir hata bulan güvenlik araştırmacısı Artem Moskowsky'ye bulgusu için 20.000 dolar ödendi.
'Kimliği doğrulanmış bir kullanıcı, normalde erişemeyeceği bir oyun için önceden oluşturulmuş CD anahtarlarını indirebilir,' Valve, HackerOne'da açıklıyor bildiri .
Sorun ilk olarak Ağustos ayında Moskowsky tarafından keşfedildi ve Valve sorunu kısa süre önce çözmeyi başardı. 11 Ağustos'ta Moskowsky'ye 5000 $ bonus ile 15.000 $ hata ödülü verildi. Valve, bu anahtar oluşturma yönteminin denetim günlüklerine bağlı olduğunu ve birinin bu hatayı kötüye kullandığına dair hiçbir kanıt bulunmadığını iddia ediyor.
'Denetim günlükleri bu yöntem kullanılarak atlanmadı ve bu denetim günlüklerinin araştırılması, bu hatadan önceki veya devam eden herhangi bir istismar göstermedi.'
İle konuşmak Kayıt Moskowsky bulgusu hakkında, 'Bu hata, bir web uygulamasının işlevselliğinin araştırılması sırasında rastgele keşfedildi. Portala erişimi olan herhangi bir saldırgan tarafından kullanılmış olabilir. '
Muhtemelen büyük ödemeden tahmin edebileceğiniz gibi, bu çok ciddi bir sorundu ve Valve'ın yamalanması en az birkaç hafta sürdü. Bir durumda, Moskowsky, Steam mağazasında 9,99 dolara satılan bir başlık olan Portal 2 için 36.000 Steam anahtarı almayı başardı.
'Güvenlik açığından yararlanmak için yalnızca bir istekte bulunmak gerekiyordu. Sadece bir parametreyi değiştirerek oyunun sahipliğinin doğrulanmasını atlamayı başardım. Bundan sonra, başka bir parametreye herhangi bir kimlik girebilir ve herhangi bir anahtar setini alabilirim, ' araştırmacı devam ediyor.
Güvenlik açığını ayrıntılarıyla anlatan HackerOne raporu ancak yakın zamanda 31 Ekim'de yayınlandı. Etiketler böcek buhar
