Поделиться
Разработчик Half-Life, Counter-Strike, Dota 2 проморгал дыру. Из-за нее все игры стали бесплатными
Эксперт обнаружил, что незначительные изменения в запросах к уязвимому API на платформе Valve Steam позволяли обходить авторизацию разработчика и извлекать ключи активации к любым играм. Valve заплатила за информацию о баге $20 тыс.
Любые игры даром
Эксперт по безопасности Артем Московский обнаружил в платформе Valve Steam весьма серьезную уязвимость, позволявшую потенциальным злоумышленникам красть лицензионные ключи к играм и играть в пиратские игры.
Steam представляет собой интернет-сервис распространения компьютерных игр и программ. Его разработчиком выступает американская компания Valve, известная созданием сверхпопулярных во всем мире многопользовательских игр, в частности, Half-Life, Counter-Strike и Dota 2.
Уязвимость была обнаружена в так называемом партнерском портале Steam — сетевом ресурсе для разработчиков игр, публикуемых через платформу. Московский обнаружил, что в API-запросах достаточно просто поменять некоторые параметры и получить ключи активации к выбранной игре.
Уязвимый API (/partnercdkeys/assignkeys/) открыт разработчикам и их партнерам для предоставления лицензионных ключей игрокам — для тестирования, в виде подарков и т. д.
По словам Московского, проблема была обнаружена совершенно случайно — он просто исследовал функциональность отдельно взятого веб-приложения. Этим же мог заниматься кто угодно другой, с любыми намерениями.
Каждый обладатель аккаунта на портале в теории может получать ключи активации для любой игры в Steam. «Я смог обойти проверку права владения игрой, поменяв лишь один параметр, — сообщил Московский. — После этого я мог в другом параметре установить любой ID и получить любой набор ключей».
Награда за молчание
По словам эксперта, он ввел случайную последовательность символов в запрос к API, чтобы выбрать случайное наименование, и в результате на него свалились 36 тыс. ключей активации к Portal 2 — игре, которая до сих пор продается в Steam за $9,99. Потенциальный ущерб нетрудно вычислить — порядка $360 тыс.
О своей находке Московский еще в начале августа сообщил в Valve через платформу HackerOne. Уже через три дня разработчик Steam выписал ему премию в размере $15 тыс., добавив сверх того бонус в размере $5 тыс. с условием не публиковать информацию об уязвимости до конца октября 2018 г.
В июле 2018 г. Артем Московский нашел в том же портале для разработчиков уязвимость класса SQL-инъекция, и получил $25 тыс.
«Программы Bug Bounty сегодня представляют собой один из ключевых механизмов, обеспечивающих адекватную работу над ошибками со стороны разработчиков веб-сервисов и другого ПО. — считает Олег Галушкин, директор по информбезопасности SEC Consult Services. — В определенной степени Valve повезло, что ошибку, позволяющую извлекать ключи активации для игр, нашел добросовестный эксперт по информационной безопасности, а не злонамеренный хакер. С другой стороны, не исключено, что после обнаружения за короткий период сразу двух серьезных уязвимостей, портал для разработчиков Steam привлечет пристальное внимание сугубых злоумышленников, надеющихся найти в нем и другие слабые места».
Поделиться
Короткая ссылка
