Украинский исследователь уязвимостей обнаружил в Steam баг, который позволил ему скачивать ключи активации игр для любой игры на платформе.
Баг был обнаружен Артемом Московским и находился в Steamworks — платформы Valve для разработчиков игр. Уязвимость находилась в web API по ссылке “partner.steamgames.com/partnercdkeys/assignkeys/”. Это API позволяет любому разработчику или партнеру получать CD-ключи для активации игр через клиент Steam.
Доступ к API открыт даже с обычным аккаунтом Steam и включает лишь несколько параметров. В частности appid [идентификатор игры], keyid [идентификатор набора ключей] и keycount [число ключей, которые Steam должен предоставить в наборе].
По словам Артема в обычных условиях при попытке запросить ключи для игр, которых у него нет, Steam API выдает ошибку — это и должно происходить. Однако если установить настрокий keycount на ноль, то это позволяет обойти ограничения API и выдает файл с ключами к любой игре, даже если пользователь не должен иметь к ним доступ.
Во время тестироваия Артему удалось сгенерировать и скачать более 36 тысяч ключей для Portal 2. Гипотетически злоумышленники могли бы скачивать все ключи всех игр Steam, так как подобрать параметры не сложно.
Артем сообщил Valve о баге еще в августе, так что компания закрыла уязвимость в течение пары дней. Не ясно, обнаружил ли баг кто-то еще, но Артем получил вознаграждение в $20 тысяч за столь важную находку. До этого он уже получал $25 тысяч от Valve за обнаружение SQL-уязвимости в том же Steamworks.
Источник
