Co jakiś czas dowiadujemy się o niezbyt chwalebnych lukach w systemach zabezpieczeń i strukturze plików wielkich internetowych serwisów – tym razem padło na Steam i Valve ma szczęście, że osoba, która dokonała tego znaleziska, okazała się być bardzo lojalna wobec najpopularniejszej platformy cyfrowej dystrybucji gier na PC.
Luka, która pojawiła się w elemencie systemu Steamworks, odpowiadającym za odzyskanie przekazanych graczom przez deweloperów kodów gier, pozwalała bowiem na uzyskanie dostępu do listy kluczy aktywacyjnych do praktycznie każdej produkcji, która znajduje się w ofercie Steam.
Co jeszcze bardziej ważne, błąd nie był zagrzebany głęboko w czeluściach struktury usługi – jak poinformował Rosjanin Artem Moskowskij, wystarczyła zmiana tylko jednego liczbowego parametru w kodzie aplikacji Steam na cyfrę „0”, by udało się ominąć cały system zabezpieczeń i otrzymać dostęp do każdej gry. I tak oto w ramach testów tej luki, Moskowskij był w stanie w latwy sposób wejść w posiadanie aż 36 tysięcy kluczy do gry Portal 2.
Na szczęście Rosjanin nie wykorzystał tej luki w celach zarobkowych, ale błyskawicznie poinformował o całej sprawie Valve, przedstawiając strukturę odnalezionego problemu. Warto wiedzieć, że luka została załatana przez Steam już w sierpniu, a wedle regulaminu dobrych praktyk hakerskich Moskowskij podał te informacje do wiadomości opinii publicznej po 90 dniach od zgłoszenia.
Wydaje się jednak, że Rosjanin nie będzie narzekał na reakcję Valve – Gabe Newell i spółka nagrodzili go kwotą 20 000 dolarów, co czyni tę nagrodę jedną z najwyższych, jaką do tej pory wypłaciło Valve za wieści o lukach w strukturze serwisu.
źródło: zdnet