В Steam был баг позволяющий получить доступ к CD-ключам любой игры

Украинский исследователь уязвимостей обнаружил в Steam баг, который позволил ему скачивать ключи активации игр для любой игры на платформе Steam. Пользователи могли получать CD-ключи к любым играм для активации игр через клиент Steam.

По словам Артема в обычных условиях при попытке запросить ключи для игр, которых у него нет, Steam API выдает ошибку — это и должно происходить. Однако если установить настроки keycount на ноль, то это позволяет обойти ограничения API и выдает файл с ключами к любой игре, даже если пользователь не должен иметь к ним доступ.

Во время тестироваия Артему удалось сгенерировать и скачать более 36 тысяч ключей для Portal 2. Гипотетически злоумышленники могли бы скачивать все ключи всех игр Steam, так как подобрать параметры не сложно.

Артем сообщил Valve о баге еще в августе, так что компания закрыла уязвимость в течение пары дней. Не ясно, обнаружил ли баг кто-то еще, но Артем получил вознаграждение в $20 тысяч за столь важную находку. До этого он уже получал $25 тысяч от Valve за обнаружение SQL-уязвимости в том же Steamworks.

Добавить комментарий

Войти с помощью: