อบไอน้ำ
Steam ของ Valve เป็นแพลตฟอร์มการกระจายดิจิทัลที่ได้รับความนิยมและประสบความสำเร็จมากที่สุดบนพีซีดังนั้นจึงเป็นเรื่องที่สมเหตุสมผลที่ บริษัท ต้องการให้มันปราศจากข้อบกพร่อง Artem Moskowsky นักวิจัยด้านความปลอดภัยซึ่งพบข้อบกพร่องซึ่งจะช่วยให้ผู้ใช้สามารถใช้งานคีย์เกม Steam ได้รับเงิน 20,000 ดอลลาร์สำหรับการค้นหาของเขา
“ ผู้ใช้ที่ได้รับการรับรองความถูกต้องสามารถดาวน์โหลดคีย์ซีดีที่สร้างขึ้นก่อนหน้านี้สำหรับเกมซึ่งปกติพวกเขาจะไม่สามารถเข้าถึงได้ Valve อธิบายใน HackerOne รายงาน .
ปัญหานี้ถูกค้นพบครั้งแรกโดย Moskowsky ในเดือนสิงหาคมและ Valve สามารถแก้ไขได้เมื่อไม่นานมานี้ เมื่อวันที่ 11 สิงหาคม Moskowsky ได้รับเงินรางวัล $ 15,000 พร้อมโบนัส $ 5,000 Valve อ้างว่าวิธีการสร้างคีย์นี้เชื่อมโยงกับบันทึกการตรวจสอบและไม่มีหลักฐานว่ามีคนละเมิดข้อบกพร่องนี้
“ บันทึกการตรวจสอบไม่ได้ถูกข้ามโดยใช้วิธีนี้และการตรวจสอบบันทึกการตรวจสอบเหล่านั้นไม่ได้แสดงถึงการใช้ประโยชน์จากข้อบกพร่องนี้ก่อนหน้านี้หรือต่อเนื่อง”
พูดกับ การลงทะเบียน เกี่ยวกับการค้นพบของเขา Moskowsky กล่าวว่า “ ข้อบกพร่องนี้ถูกค้นพบแบบสุ่มระหว่างการสำรวจฟังก์ชันการทำงานของเว็บแอปพลิเคชัน อาจถูกใช้โดยผู้โจมตีทุกคนที่สามารถเข้าถึงพอร์ทัลได้”
อย่างที่คุณคาดเดาได้จากการจ่ายเงินจำนวนมากนี่เป็นปัญหาที่ร้ายแรงมากและ Valve ต้องใช้เวลาอย่างน้อยสองสามสัปดาห์ในการแก้ไข ในกรณีหนึ่ง Moskowsky ได้รับ 36,000 Steam Keys สำหรับ Portal 2 ซึ่งเป็นชื่อที่ขายปลีกในราคา $ 9.99 บนร้านค้า Steam
“ ในการใช้ประโยชน์จากช่องโหว่นั้นจำเป็นต้องร้องขอเพียงครั้งเดียว ฉันสามารถหลีกเลี่ยงการยืนยันความเป็นเจ้าของเกมได้โดยเปลี่ยนพารามิเตอร์เพียงตัวเดียว หลังจากนั้นฉันสามารถป้อน ID ใด ๆ ในพารามิเตอร์อื่นและรับชุดคีย์ใดก็ได้” นักวิจัยกล่าวต่อ
รายงาน HackerOne ที่ให้รายละเอียดเกี่ยวกับช่องโหว่ได้รับการเผยแพร่เมื่อเร็ว ๆ นี้เมื่อวันที่ 31 ตุลาคม แท็ก จุดบกพร่อง อบไอน้ำ
