بخار
تعد Valve’s Steam واحدة من أكثر منصات التوزيع الرقمي شهرة ونجاحًا على جهاز الكمبيوتر ، لذا فمن المنطقي أن ترغب الشركة في إبقائها خالية من الأخطاء. الباحث الأمني ، Artem Moskowsky ، الذي وجد خللًا من شأنه أن يسمح للمستخدمين بوضع أيديهم على مفاتيح ألعاب Steam العاملة ، حصل على 20000 دولار مقابل اكتشافه.
'يمكن للمستخدم المصادق عليه تنزيل مفاتيح القرص المضغوط التي تم إنشاؤها مسبقًا للعبة التي لا يمكنه الوصول إليها عادةً' يشرح فالف في HackerOne نقل .
تم اكتشاف المشكلة لأول مرة بواسطة Moskowsky مرة أخرى في أغسطس ، وتمكن Valve من حلها مؤخرًا فقط. في 11 أغسطس ، حصل Moskowsky على مكافأة خطأ قدرها 15000 دولار مع مكافأة قدرها 5000 دولار. تدعي Valve أن طريقة إنشاء المفاتيح هذه مرتبطة بسجلات التدقيق ، وأنه لا يوجد دليل على أن شخصًا ما يسيء استخدام هذا الخطأ.
'لم يتم تجاوز سجلات التدقيق باستخدام هذه الطريقة ، ولم يُظهر التحقيق في سجلات التدقيق هذه أي استغلال سابق أو مستمر لهذا الخطأ'.
التحدث مع السجل يقول موسكوفسكي عن اكتشافه ، 'تم اكتشاف هذا الخطأ بشكل عشوائي أثناء استكشاف وظائف تطبيق الويب. ربما تم استخدامه من قبل أي مهاجم لديه حق الوصول إلى البوابة '.
كما قد تتوقع من العائد الكبير ، كانت هذه مشكلة خطيرة للغاية واستغرق الأمر من Valve أسبوعين على الأقل لإصلاحها. في إحدى الحالات ، تمكن Moskowsky من الحصول على 36000 مفتاح Steam لـ Portal 2 ، وهو عنوان يُباع بالتجزئة بسعر 9.99 دولارًا في متجر Steam.
'لاستغلال الثغرة الأمنية ، كان من الضروري تقديم طلب واحد فقط. تمكنت من تجاوز التحقق من ملكية اللعبة من خلال تغيير معيار واحد فقط. بعد ذلك ، يمكنني إدخال أي معرف في معلمة أخرى والحصول على أي مجموعة من المفاتيح ، ' يستمر الباحث.
تم نشر تقرير HackerOne الذي يفصل الثغرة الأمنية مؤخرًا فقط في 31 أكتوبر. العلامات خلل برمجي بخار