Um pesquisador de segurança descobriu uma vulnerabilidade perigosa da Valve, permitindo que usuários maliciosos revelassem as chaves de licença para o conteúdo disponível na loja. Isso significa que cada jogo de computador ou software pode ser adquirido aproveitando-o. O especialista revelou o problema para a Valve, que corrigiu o bug.
A vulnerabilidade crítica do Steam corrigida: Os usuários de malware podem acessar os jogos gratuitamente
Uma vulnerabilidade perigosa do Steam foi relatada recentemente e, felizmente, foi corrigida antes de qualquer abuso ser relatado. O problema foi descoberto por um especialista em segurança chamado Artem Moskowsky que revelou o bug em particular para a Valve em agosto. O problema foi corrigido pelos desenvolvedores do Steam e o reconhecimento público foi postado quando os patches críticos necessários foram lançados para os usuários.
O problema foi encontrado no portal do desenvolvedor Steam, que pode ser explorado em revelando as chaves de licença para conteúdo publicado na plataforma. O especialista revelou que era muito fácil modificar os parâmetros na solicitação da API durante as transações de rede. Isso permite que usuários maliciosos criem pacotes personalizados que retornarão a chave de licença para um determinado título. Steam e CS no ano passado:Os usuários de GO enfrentaram problemas sérios quando um [wplinkpreview url =”https://sensorstechforum.com/csgo-lobby-hackers-still-remain-mystery/”]campanha de spam em lobby em grande escala afetou a maioria dos jogadores. Os especialistas em segurança não conseguiram identificar as origens ou os autores.
A prova de conceito foi feita alterando um único parâmetro que substitui o status de propriedade do jogo. Uma vez feito isso, eles podem adquirir a chave de qualquer título que eles especificarem, eficazmente ser capaz de baixar todo o catálogo do Steam gratuitamente. As notícias indicam que Moskowsky demonstrou que foi capaz de obter 36,000 chaves para Portal 2. Dado o preço, um cálculo simples neste cenário resulta em $359,640 de perda de receita para a Valve.
Ao verificar se o bug é legítimo, o pesquisador recebeu uma recompensa por bug através do Hacker One plataforma. A divulgação privada feita pelo especialista garante que nenhum usuário malicioso possa abusar dela. Nenhum relatório de tais reivindicações foi relatado. A Valve confirmou que os arquivos de log não semeiam registros de abuso ou intrusão.
Martin Beltov
Martin formou-se na publicação da Universidade de Sofia. Como a segurança cibernética entusiasta ele gosta de escrever sobre as ameaças mais recentes e mecanismos de invasão.
Me siga: