Разработчик Half-Life, Counter-Strike, Dota 2 проморгал дыру. Из-за нее все игры стали бесплатными

Любые игры даром Эксперт по безопасности АртемМосковский обнаружил в платформе Valve Steam весьма серьезную уязвимость,позволявшую потенциальным злоумышленникам красть лицензионные ключи к играм ииграть в пиратские игры. Steam представляет собой интернет-сервис распространениякомпьютерных игр и программ. Его разработчиком выступает американская компанияValve, известная созданием сверхпопулярных во всем мире многопользовательскихигр, в частности, Half-Life, Counter-Strike и Dota 2. Уязвимость была обнаружена в так называемом партнерскомпортале Steam — сетевом ресурсе для разработчиков игр, публикуемых черезплатформу. Московский обнаружил, что в API-запросах достаточно просто поменятьнекоторые параметры и получить ключи активации к выбранной игре. Уязвимый API (/partnercdkeys/assignkeys/) открыт разработчикам и их партнерам дляпредоставления лицензионных ключей игрокам — для тестирования, в виде подаркови т. д.

Уязвимость в портале для разработчиков Steam позволяла красть коды к любым играм По словам Московского, проблема была обнаружена совершеннослучайно — он просто исследовал функциональность отдельно взятоговеб-приложения. Этим же мог заниматься кто угодно другой, с любыми намерениями. Каждый обладатель аккаунта на портале в теории можетполучать ключи активации для любой игры в Steam. «Я смог обойти проверку прававладения игрой, поменяв лишь один параметр, — сообщил Московский. — После этогоя мог в другом параметре установить любой ID и получить любой набор ключей». Награда за молчание По словам эксперта, он ввел случайную последовательностьсимволов в запрос к API, чтобы выбрать случайное наименование, и в результатена него свалились 36 тыс. ключей активации к Portal 2 — игре, которая до сихпор продается в Steam за $9,99. Потенциальный ущерб нетрудно вычислить —порядка $360 тыс. О своей находке Московский еще в начале августа сообщил вValve через платформу HackerOne. Уже через три дня разработчик Steam выписалему премию в размере $15 тыс., добавив сверх того бонус в размере $5 тыс. сусловием не публиковать информацию об уязвимости до конца октября 2018 г. В июле 2018 г. Артем Московский нашел в том же портале дляразработчиков уязвимость класса SQL-инъекция, и получил $25 тыс. «Программы Bug Bounty сегодня представляют собой один изключевых механизмов, обеспечивающих адекватную работу над ошибками со стороныразработчиков веб-сервисов и другого ПО. — считает Олег Галушкин, эксперт по информационной безопасности компании SECConsult Services. — В определенной степени Valve повезло, что ошибку,позволяющую извлекать ключи активации для игр, нашел добросовестный эксперт поинформационной безопасности, а не злонамеренный хакер. С другой стороны, неисключено, что после обнаружения за короткий период сразу двух серьезныхуязвимостей, портал для разработчиков Steam привлечет пристальное вниманиесугубых злоумышленников, надеющихся найти в нем и другие слабые места». Ссылка на источник