バルブは、CDキーを生成したバグに対してハッカーに2万ドルを支払います

Steamには最近までかなり深刻なセキュリティ上の欠陥があり、攻撃者は支払いを必要とせずにデジタルストアで入手可能なゲームのアクティベーションキーを生成することができました。幸運なことに、Valveにとって、セキュリティ研究者は最初にバグを発見し、それを悪用するのではなく、報告することで正当に報われました。



セキュリティ研究者は、欠陥を見つけるためにシステムをハッキングすることに日々を費やしています。そこにバグバウンティの数が増えているので、そのような仕事からキャリアを作ることが可能です。研究者のArtemMoskowskyは、SteamのAPIの1つで発見した脆弱性のおかげで、最近大きな給料日を楽しんだ。

NS 登録簿 レポートによると、MoskowskyはSteamのパートナーポータルを使用しているときに脆弱性を発見しました。ポータルは、開発者がゲームを管理し、アクティベーションキーにアクセスして他のユーザーと共有するために使用されます。 Moskowskyは、この機能を処理するためにAPI Valveが使用するパラメーターを変更することが可能であり、正しい変更を行うことで、ゲームのアクティベーションキーを生成できることを発見しました。ゲームだけでなく、Steamで利用できるすべてのゲーム。





inspiron 153000シリーズの仕様

これが機能した理由は、ValveがAPIの所有権を適切に検証していないことが原因であると思われます。 Moskowskyは、検証をバイパスするために1つのパラメーターを変更する可能性があります。その後、任意のゲームのIDを入力すると、ゲームを取得するためのキーが生成されました。

Moskowskyはプロのセキュリティ研究者であるため、彼は正しいことを行い、Valveに対する脆弱性を次のように報告しました。 ハッカー バグバウンティサービス。彼のレポートのタイトルは「あらゆるゲームのすべてのCDキーを入手する」でした。レポートは8月7日に投稿され、8月11日までにValveがレビューし、Moskowskyに報酬を与えました。彼は15,000ドルの報奨金と5,000ドルのボーナスを受け取りました。これは、これがバルブにとってどれほど重要であるかを示しています。



編集者からの推薦

Valve Steam Proton LinuxWindowsのみのゲームホワイトリストValveがLinux上で実行されている2,663のWindows専用Steamゲームを取得 フォールアウト76はSteamに参加しません

Moskowskyは、Valve内で会社の高価な友人と見なされる必要があります。このセキュリティ上の欠陥を報告する前に、彼は $ 25,000を獲得しました SteamのSQLインジェクションの脆弱性をValveに報告した後の7月。

lacie外付けハードドライブレビュー
推奨されます