Разработчик Half-Life, Counter-Strike, Dota 2 проморгал дыру. Из-за нее все игры стали бесплатными
14 нояб 2018 12:40 #73553
от ICT
ICT создал тему: Разработчик Half-Life, Counter-Strike, Dota 2 проморгал дыру. Из-за нее все игры стали бесплатными
Любые игры даром Эксперт по безопасности АртемМосковский обнаружил в платформе Valve Steam весьма серьезную уязвимость,позволявшую потенциальным злоумышленникам красть лицензионные ключи к играм ииграть в пиратские игры. Steam представляет собой интернет-сервис распространениякомпьютерных игр и программ. Его разработчиком выступает американская компанияValve, известная созданием сверхпопулярных во всем мире многопользовательскихигр, в частности, Half-Life, Counter-Strike и Dota 2. Уязвимость была обнаружена в так называемом партнерскомпортале Steam — сетевом ресурсе для разработчиков игр, публикуемых черезплатформу. Московский обнаружил, что в API-запросах достаточно просто поменятьнекоторые параметры и получить ключи активации к выбранной игре. Уязвимый API (/partnercdkeys/assignkeys/) открыт разработчикам и их партнерам дляпредоставления лицензионных ключей игрокам — для тестирования, в виде подаркови т. д.
Уязвимость в портале для разработчиков Steam позволяла красть коды к любым играм По словам Московского, проблема была обнаружена совершеннослучайно — он просто исследовал функциональность отдельно взятоговеб-приложения. Этим же мог заниматься кто угодно другой, с любыми намерениями. Каждый обладатель аккаунта на портале в теории можетполучать ключи активации для любой игры в Steam. «Я смог обойти проверку прававладения игрой, поменяв лишь один параметр, — сообщил Московский. — После этогоя мог в другом параметре установить любой ID и получить любой набор ключей». Награда за молчание По словам эксперта, он ввел случайную последовательностьсимволов в запрос к API, чтобы выбрать случайное наименование, и в результатена него свалились 36 тыс. ключей активации к Portal 2 — игре, которая до сихпор продается в Steam за $9,99. Потенциальный ущерб нетрудно вычислить —порядка $360 тыс. О своей находке Московский еще в начале августа сообщил вValve через платформу HackerOne. Уже через три дня разработчик Steam выписалему премию в размере $15 тыс., добавив сверх того бонус в размере $5 тыс. сусловием не публиковать информацию об уязвимости до конца октября 2018 г. В июле 2018 г. Артем Московский нашел в том же портале дляразработчиков уязвимость класса SQL-инъекция, и получил $25 тыс. «Программы Bug Bounty сегодня представляют собой один изключевых механизмов, обеспечивающих адекватную работу над ошибками со стороныразработчиков веб-сервисов и другого ПО. — считает Олег Галушкин, эксперт по информационной безопасности компании SECConsult Services. — В определенной степени Valve повезло, что ошибку,позволяющую извлекать ключи активации для игр, нашел добросовестный эксперт поинформационной безопасности, а не злонамеренный хакер. С другой стороны, неисключено, что после обнаружения за короткий период сразу двух серьезныхуязвимостей, портал для разработчиков Steam привлечет пристальное вниманиесугубых злоумышленников, надеющихся найти в нем и другие слабые места».
Ссылка на источник
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
Похожие статьи
Тема | Релевантность | Дата |
---|---|---|
В игровой платформе разработчика Half-Life и Counter-Strike 10 лет скрывался опаснейший баг. Видео | 32.61 | Понедельник, 04 июня 2018 |
«Доктор Веб» обнаружил троянца в официальном клиенте игры Counter-Strike | 22.88 | Вторник, 12 марта 2019 |
CS GO – модернизированный шутер серии Counter-Strike. | 17.3 | Четверг, 05 марта 2015 |
«Триколор» поддержал чемпионат по Counter-Strike | 17.3 | Понедельник, 18 марта 2019 |
TV1000Play проведет онлайн-трансляцию финала Counter-Strike | 16.93 | Пятница, 24 июня 2016 |
Власти запретили покупать оружие в игре Counter-Strike | 16.93 | Понедельник, 02 октября 2017 |
TV1000Play впервые проведет онлайн-трансляцию финала Counter-Strike | 16.75 | Пятница, 24 июня 2016 |
Власти запретили россиянам покупать оружие в игре Counter-Strike | 16.75 | Понедельник, 02 октября 2017 |
Энтузиаст запустил Half-Life на "умных" часах (ВИДЕО) | 16.72 | Пятница, 24 июля 2015 |
Eset: шифратор GandCrab маскируется под «кряки» для Counter Strike и Microsoft Office | 16.58 | Среда, 29 августа 2018 |