Vapor
Steam de Valve es una de las plataformas de distribución digital más populares y exitosas para PC, por lo que tendría sentido que la empresa quisiera mantenerla libre de errores. El investigador de seguridad Artem Moskowsky, que encontró un error que permitiría a los usuarios tener en sus manos claves funcionales de juegos de Steam, recibió $ 20,000 por su hallazgo.
'Un usuario autenticado podría descargar claves de CD generadas previamente para un juego al que normalmente no tendría acceso', Valve explica en el HackerOne reporte .
El problema fue descubierto por primera vez por Moskowsky en agosto, y Valve logró resolverlo solo recientemente. El 11 de agosto, Moskowsky recibió una recompensa por error de $ 15.000 con una bonificación de $ 5000. Valve afirma que este método de generación de claves está vinculado a los registros de auditoría y que no hay evidencia de que alguien abuse de este error.
'Los registros de auditoría no se omitieron con este método, y una investigación de esos registros de auditoría no mostró ninguna explotación previa o en curso de este error'.
Hablando con El registro sobre su hallazgo, dice Moskowsky, “Este error se descubrió al azar durante la exploración de la funcionalidad de una aplicación web. Podría haber sido utilizado por cualquier atacante que tuviera acceso al portal '.
Como probablemente adivinaría por el gran pago, este fue un problema muy serio y Valve tardó al menos un par de semanas en parchear. En un caso, Moskowsky había logrado adquirir 36,000 claves de Steam para Portal 2, un título que se vende por $ 9.99 en la tienda Steam.
“Para aprovechar la vulnerabilidad, era necesario realizar una sola solicitud. Logré evitar la verificación de propiedad del juego cambiando solo un parámetro. Después de eso, podría ingresar cualquier ID en otro parámetro y obtener cualquier conjunto de claves '. prosigue el investigador.
El informe de HackerOne que detalla la vulnerabilidad se publicó recientemente el 31 de octubre. Etiquetas insecto vapor
