Najbardziej zaawansowana aplikacja do ochrony cybernetycznej dla Androida - Bitdefender Mobile Security & Antivirus

Pobierz
Bitdefender
  • 0

Bezpieczeństwo w InternecieBlog

Wykryto lukę w zabezpieczeniach platformy Steam. Pozwala ona uzyskać dostęp do kluczy licencyjnych wszystkich dostępnych na platformie gier

Damian

Damian S

22 listopada 2018

Luka została odkryta i zgłoszona w sierpniu tego roku firmie Valve, właścicielowi Steam platformy do dystrybucji cyfrowej gier przez analityka bezpieczeństwa sieciowego Artema Moskowskyego. Błąd pozwalał na nieautoryzowany dostęp do wszystkich kluczy licencyjnych, z pomocą których można aktywować pobrane gry komputerowe.

Informacja o luce została ujawniona przez Valve dopiero teraz.  Artem Moskowsky postąpił bowiem zgodnie z zasadami etyki obowiązującej w środowisku zajmującym się bezpieczeństwem sieciowym i dał czas firmie Valve na załatanie luki, przed upublicznieniem informacji na jej temat.

Moskowsky znalazł błąd przez przypadek, w trakcie analizowania interfejsu programistycznego (API) Steama, umożliwiającego deweloperom i resellerom zarządzanie kluczami licencyjnymi gier sprzedawanych za pośrednictwem platformy.

Odkrywca luki zorientował się, że wystarczy niewielka zmiana w składni zapytania wysyłanego do API, aby otrzymać odpowiedź zawierającą chronione licencją klucze aktywacyjne gier komputerowych.

W celu uzyskania nieautoryzowanego dostępu do kluczy licencyjnych, należało złożyć wniosek o stworzenie na Steamie konta deweloperskiego, co może zrobić praktycznie każdy. W celu kradzieży kluczy wystarczyło w udokumentowanym żądaniu do API zmienić jeden parametr, by oszukać mechanizm weryfikujący czy zapytanie pochodzi od właściciela konta. Następnie w zapytaniu o udostępnienie kluczy trzeba było podmienić własne ID na ID innego dewelopera.

Według Moskowskyiego, z pomocą opisanej metody udało mu się uzyskać dostęp do 36 tys. kluczy licencyjnych gry Portal 2, stworzonej przez Valve – właściciela platformy. Przy cenie 9,99 USD za grę, potencjalny zysk z nielegalnej sprzedaży wykradzionych kluczy mógł wynieść 359 640 USD.

Błąd został zgłoszony za pośrednictwem hackerone.com. Jest to usługa do wskazywania problemów w zabezpieczeniach, pośrednicząca pomiędzy analitykami bezpieczeństwa sieciowego a deweloperami, którzy otrzymują czas na załatanie luk przed ich publicznym ujawnieniem.

Valve przyznał Moskowskyemu nagrodę w wysokości 15 tys. USD oraz dodatkową premię wynoszącą 5 tys. USD. Przeglądając rejestry hackerone.com można znaleźć inne zgłoszenie Moskowskyego, za które otrzymał wynagrodzenie w wysokości 25 tys. USD, również od Valve. Wygląda na to, że etyczne hakowanie to całkiem intratne zajęcie.

„Wielokrotnie zdarzało się, że sami hakerzy pokazywali gdzie tkwi luka w zabezpieczeniach. Popularne serwisy, które przetwarzają poufne dane powinny z pewnością zainwestować w niezawodne zabezpieczenia. Warto też pamiętać, że jest coraz więcej nowych zagrożeń w Internecie, przez co raz zainstalowany program powinien być aktualizowany pod ich kątem” komentuje Dariusz Woźniak, inżynier techniczny Bitdefender z firmy Marken.


Autor


Damian

Damian S

Należę do działu Webmasterów. Do moich zadań należy tworzenie, poprawianie i pozycjonowanie nowych stron i wpisów na blogu. Aktualnie dalej jestem na etapie kształcenia się jako informatyk. W wolnym czasie dokształcam się w zakresie kolejnych języków programowania i uczę się tworzenia aplikacji mobilnych. W weekendy lubię zrelaksować się wędkując.

Zobacz posty autora


Artykuły które mogą Ci się spodobać

×

Informacje o bezpieczeństwie produktu (GPSR)

Producent

Bitdefender

Nazwa własna: Bitdefender
Adres: 15A Orhideelor Road, Orhideea Towers
060071 Bukareszt, 6. Dzielnica
Rumunia

Kontakt:
https://www.bitdefender.com/consumer/support/help/
Contact Support - Bitdefender

Ostrzeżenia dotyczące bezpieczeństwa

Lista ostrzeżeń dotyczących bezpieczeństwa antywirusów i bezpieczeństwa oparta o wymagania Rozporządzenia (UE) 2023/988 w sprawie ogólnego bezpieczeństwa produktów (GPSR).

Oprogramowanie antywirusowe i zabezpieczające to szeroka kategoria produktów, dlatego poniższe ostrzeżenia mają charakter ogólny i mogą nie odnosić się do wszystkich konkretnych produktów.

Instrukcja bezpieczeństwa dla programów antywirusowych i zabezpieczających

1. Wybór odpowiedniego oprogramowania

  • Wybieraj programy z uznanych źródeł, takich jak oficjalne strony producentów.
  • Zwracaj uwagę na oceny i recenzje użytkowników oraz niezależnych organizacji zajmujących się testowaniem oprogramowania.

2. Aktualizacje

  • Regularnie aktualizuj programy antywirusowe i zabezpieczające, aby mieć pewność, że są one chronione przed najnowszymi zagrożeniami.
  • Włącz automatyczne aktualizacje, jeśli to możliwe.

3. Skanowanie systemu

  • Przeprowadzaj regularne skanowania całego systemu w celu wykrycia potencjalnych zagrożeń.
  • Ustaw harmonogram skanowania, aby nie zapomnieć o tej czynności.

4. Ochrona w czasie rzeczywistym

  • Upewnij się, że funkcja ochrony w czasie rzeczywistym jest włączona, aby zminimalizować ryzyko infekcji.
  • Monitoruj aktywność programu antywirusowego i reaguj na wszelkie zgłoszone zagrożenia.

5. Bezpieczeństwo Internetu

  • Korzystaj z dodatkowych funkcji, takich jak zapory ogniowe i filtry ochrony prywatności.
  • Bądź ostrożny przy pobieraniu plików oraz wchodzeniu na nieznane strony internetowe.

6. Zarządzanie dostępem

  • Ogranicz dostęp do programów zabezpieczających tylko do zaufanych użytkowników.
  • Używaj silnych haseł do kont związanych z oprogramowaniem zabezpieczającym.

7. Edukacja użytkowników

  • Przeszkol wszystkich użytkowników korzystających z systemu w zakresie bezpieczeństwa.
  • Wprowadź zasady dotyczące rozpoznawania potencjalnych zagrożeń, takich jak phishing.

8. Tworzenie kopii zapasowych

  • Regularnie twórz kopie zapasowe ważnych danych, aby w razie infekcji móc przywrócić system do stanu przed atakiem.
  • Upewnij się, że kopie zapasowe są przechowywane w bezpiecznym miejscu, oddzielonym od głównego systemu.

9. Reakcja na zagrożenia

  • W przypadku wykrycia zagrożenia, niezwłocznie postępuj zgodnie z instrukcjami programu antywirusowego.
  • Rozważ konsultację z profesjonalnym serwisem w sytuacji poważnych infekcji.

10. Zgłaszanie problemów

  • Zgłaszaj wszelkie nieprawidłowości lub problemy z działaniem oprogramowania do odpowiednich kanałów wsparcia technicznego.

Przestrzeganie powyższych wytycznych pomoże w skutecznej ochronie systemu przed zagrożeniami oraz w zapewnieniu bezpieczeństwa danych.