Un chercheur en sécurité a découvert une vulnérabilité dangereuse Valve permettant aux utilisateurs malveillants pour révéler les clés de licence pour le contenu disponible sur le magasin. Cela signifie que tous les jeux informatiques ou aux logiciels peuvent être acquis en tirant parti de ce. L'expert a révélé la question à Valve qui ont fixé le bug.
La vulnérabilité critique vapeur fixe: Les utilisateurs malveillants auraient pu avoir accès Jeux gratuits
Une vulnérabilité dangereuse de vapeur a été récemment rapporté que, heureusement, a été fixé avant tout abus est signalé. Le problème a été découvert par un expert de sécurité appelé Artem Moskowsky qui a divulgué le bug en privé à revenir en Août Valve. Le problème a été résolu par les développeurs de vapeur et la reconnaissance du public a été publié lorsque les correctifs critiques nécessaires ont été déployés aux utilisateurs.
Le problème a été trouvé dans le portail développeur Steam qui était en exploitable révélant les clés de licence pour le contenu publié sur la plate-forme. L'expert a révélé qu'il était fée facile de modifier les paramètres de la requête de l'API lors des transactions de réseau. Cela permet aux utilisateurs malveillants aux bateaux de paquets personnalisés qui renverra la clé de licence pour un titre donné. L'année dernière vapeur et CS:Les utilisateurs confrontés GO problème grave lorsqu'un [wplinkpreview url =”https://sensorstechforum.com/csgo-lobby-hackers-still-remain-mystery/”]à grande échelle campagne de spam lobby affecté la majorité des joueurs. Les experts en sécurité ont été incapables d'identifier les origines ou les auteurs.
La preuve de concept a été fait en changeant un seul paramètre qui remplace le statut de propriété de jeu. Une fois cela fait l'acquisition de la clé peut de tout titre, ils précisent, efficacement pouvoir télécharger tout le catalogue de Steam gratuitement. Les rapports d'information indiquent que Moskowsky a démontré qu'il était en mesure d'obtenir 36,000 clés pour Portal 2. Compte tenu du prix d'un simple calcul dans ce scénario se traduit par $359,640 des pertes de revenus pour Valve.
Après avoir vérifié que le bogue est le chercheur légitime a reçu une récompense de bug bounty par la Hacker One Plate-forme. La divulgation privée fait par l'expert garantit qu'aucun utilisateur malveillant peut abuser. Aucun rapport de ces demandes ont été signalées. Valve a confirmé que les fichiers journaux sèment pas de dossiers d'abus ou d'intrusion.