Valve odměnilo 20 tisíci dolary bezpečnostního experta za objevení bugu způsobujícího generování aktivačních klíčů pro hry na Steamu

Valve odměnilo 20 tisíci dolary kyberbezpečnostního odborníka a etického hackera Artema Moskewského za objevení závažného bugu v jednom z programovacích rozhraní Steamu, který umožňoval neomezené generování aktivačních kódů pro všechny hry z platformy. Exploit mohl zneužít každý, kdo měl na partnerském portálu Steamu vývojářský účet, změnou jediného parametru.

Moskowsky podle svých slov objevil bug náhodou, když zkoumal funkčnost jisté webové aplikace. Změněním jednoho parametru se mu podařilo obejít verifikaci vlastnictví hry a poté již mohl zadat do jiného parametru jakékoli jméno hry a dostat k ní až tisíce aktivačních klíčů. Při testování rozsahu exploitu zadal expert jako požadavek řadu náhodných čísel, což mu vygenerovalo 36 000 aktivačních klíčů pro titul Portal 2, shodou okolností pocházející z dílny Valve.

Moskewsky na svůj objev společnost upozornil 7. srpna prostřednictvím služby hlášení bugů webu Hackerone. Valve jeho zjištění vzápětí přezkoumalo a o čtyři dny později jej odměnilo zmíněnou částkou.

Není to poprvé, co se Moskewsky společnosti vyplatil – v červenci jej odměnila 25 tisíci dolary za to, že na stejném portálu objevil bezpečnostní chybu SQL Injection.

Zdroj: gamesindustry.biz, pcmag.com