Артем Московский, который изучал систему безопасности Steam, нашел изъян, который позволял недобросовестным пользователям получить доступ к порталу разработчиков для генерации неограниченного количества игровых ключей. Но вместо того, чтобы получить копию каждой игры на платформе или генерировать тысячи ключей Crusader Kings 2, а затем продавать их, он привлек к себе внимание Valve и был вознагражден суммой в размере $20 000.
“Эта ошибка была обнаружена случайным образом при изучении функций веб-приложения”, – заявил Московский. “Она мог быть использована любым злоумышленником, имеющим доступ к порталу.”
“Для использования уязвимости достаточно было сделать всего одно запрос. Мне удалось обойти проверку, изменив только один параметр, после чего я смог ввести любой идентификатор и получать любой набор ключей.”
Для демонстрации серьезности проблемы, Московский сказал, что в какой-то момент он ввел случайную строку в запрос и в итоге получил 36 000 ключей активации для Portal 2. Если покупать эти ключи за их полную цену, то сумма составила бы 360 000 долларов. Представьте, что будет если продать эти игры с 95-процентной скидкой. У вас по-прежнему останется большая сумма, и при этом вы затратили на это минимум усилий. Вот почему Valve так щедро вознаградили его за находку.
Более подробную информацию о проблеме можно найти на сайте HackerOne, посвященном проблемам безопасности и поиску уязвимостей.
“Используя окончание /partnercdkeys/assignkeys/ на сайте partner.steamgames.com с определенными параметрами, аутентифицированный пользователь мог загрузить ранее созданные ключи для игр, которые недоступны для обычных пользователей”, – говорится в сообщении. “В журнале событий не было никаких данных об использовании данного изъяна в системе.”
На сайте уровень серьезности проблемы указан “критический”, о чем также сообщает красная полоска справа. Московский сообщил о проблеме еще 7 августа и получил свое вознаграждение в размере 15 000 долларов 10 августа. Также к этой сумме было добавлено еще 5 000 долларов в качестве бонуса. Сообщение было опубликовано только 31 октября. Вот почему мы узнали о ней только сейчас.
Valve уже давно платят честным хакерам, которые находят уязвимости в Steam. Впервые о такой программе и сайте HackerOne мы услышали в мае этого года, но позже выяснилось, что программа работала еще за 7 месяцев до этого. Отчеты о выплатах на HackerOne становятся известны не менее чем через год, но данные по большинству из них не разглашаются. Московский довольно хорошо справляется с этим: наряду с многочисленными маленькими платежами ($500-$750), еще одна критическая уязвимость, о которой он сообщил в июле, принесла ему 25 000 долларов.