Valve заплатила за помощь в обнаружении уязвимости Steam 20 тысяч долларов

Исследователь в области безопасности из Украины выявил в сервисе Steam баг, за что от Valve получил $20 тысяч. Данная уязвимость в API позволяла разработчикам проводить генерацию ключей активации, причем для совершенно любой игры, которая размещена в магазине.

Чтобы воспользоваться этой брешью, для злоумышленников достаточно было изменить только один параметр, дающий доступ к API. Определивший наличие данного изъяна программист успешно создал 36000 ключей для одной только игры Portal 2. Особо отмечается, что специалист повел себя достойно, поскольку не использовал уязвимость для своих целей, уведомив о находке Valve. После этого проблема была устранена.

При этом известно, что в API Steam имеется брешь в безопасности. Необходим API разработчикам для предоставления CD-ключей пользователям, чтобы активировать игры, устанавливаемые посредством клиента Steam. К API доступ предоставляется при помощи обычного аккаунта Steam, достаточно задействовать несколько параметров.

Как рассказал специалист из Украины, в рядовых случаях, когда производится попытка получения ключей для игр не их владельцем, API выдает сообщение-ошибку, что обусловлено понятием безопасности. Эксперту таким образом удалось завладеть файлом, в котором был полный набор ключей для любой игры. Причем у самого пользователя к такому набору данных не должно открываться доступа.