Wykryto lukę w zabezpieczeniach platformy Steam. Pozwala ona uzyskać dostęp do kluczy licencyjnych wszystkich dostępnych na platformie gier

Damian S

22 listopada 2018

Luka została odkryta i zgłoszona w sierpniu tego roku firmie Valve, właścicielowi Steam – platformy do dystrybucji cyfrowej gier – przez analityka bezpieczeństwa sieciowego Artema Moskowskyego. Błąd pozwalał na nieautoryzowany dostęp do wszystkich kluczy licencyjnych, z pomocą których można aktywować pobrane gry komputerowe.

Informacja o luce została ujawniona przez Valve dopiero teraz. Artem Moskowsky postąpił bowiem zgodnie z zasadami etyki obowiązującej w środowisku zajmującym się bezpieczeństwem sieciowym i dał czas firmie Valve na załatanie luki, przed upublicznieniem informacji na jej temat.

Moskowsky znalazł błąd przez przypadek, w trakcie analizowania interfejsu programistycznego (API) Steama, umożliwiającego deweloperom i resellerom zarządzanie kluczami licencyjnymi gier sprzedawanych za pośrednictwem platformy.

Odkrywca luki zorientował się, że wystarczy niewielka zmiana w składni zapytania wysyłanego do API, aby otrzymać odpowiedź zawierającą chronione licencją klucze aktywacyjne gier komputerowych.

W celu uzyskania nieautoryzowanego dostępu do kluczy licencyjnych, należało złożyć wniosek o stworzenie na Steamie konta deweloperskiego, co może zrobić praktycznie każdy. W celu kradzieży kluczy wystarczyło w udokumentowanym żądaniu do API zmienić jeden parametr, by oszukać mechanizm weryfikujący czy zapytanie pochodzi od właściciela konta. Następnie w zapytaniu o udostępnienie kluczy trzeba było podmienić własne ID na ID innego dewelopera.

Według Moskowskyiego, z pomocą opisanej metody udało mu się uzyskać dostęp do 36 tys. kluczy licencyjnych gry Portal 2, stworzonej przez Valve – właściciela platformy. Przy cenie 9,99 USD za grę, potencjalny zysk z nielegalnej sprzedaży wykradzionych kluczy mógł wynieść 359 640 USD.

Błąd został zgłoszony za pośrednictwem hackerone.com. Jest to usługa do wskazywania problemów w zabezpieczeniach, pośrednicząca pomiędzy analitykami bezpieczeństwa sieciowego a deweloperami, którzy otrzymują czas na załatanie luk przed ich publicznym ujawnieniem.

Valve przyznał Moskowskyemu nagrodę w wysokości 15 tys. USD oraz dodatkową premię wynoszącą 5 tys. USD. Przeglądając rejestry hackerone.com można znaleźć inne zgłoszenie Moskowskyego, za które otrzymał wynagrodzenie w wysokości 25 tys. USD, również od Valve. Wygląda na to, że etyczne hakowanie to całkiem intratne zajęcie.

„Wielokrotnie zdarzało się, że sami hakerzy pokazywali gdzie tkwi luka w zabezpieczeniach. Popularne serwisy, które przetwarzają poufne dane powinny z pewnością zainwestować w niezawodne zabezpieczenia. Warto też pamiętać, że jest coraz więcej nowych zagrożeń w Internecie, przez co raz zainstalowany program powinien być aktualizowany pod ich kątem” komentuje Dariusz Woźniak, inżynier techniczny Bitdefender z firmy Marken.

Podobne artykuły:

Jeden z największych programów partnerskich na rynku cyber W Polsce

Ewolucja usług MSP: Dlaczego SOC i XDR stają się standardem w dobie NIS2 i jak na tym zyskać?

Poza horyzont zgodności: Jak duet PKF Polska i Bitdefender definiuje odporność biznesu w 2026 roku

Audyt i technologia: Jak PKF Polska i Bitdefender Polska budują cyfrową odporność biznesu

Autor

Damian S

Należę do działu Webmasterów. Do moich zadań należy tworzenie, poprawianie i pozycjonowanie nowych stron i wpisów na blogu. Aktualnie dalej jestem na etapie kształcenia się jako informatyk. W wolnym czasie dokształcam się w zakresie kolejnych języków programowania i uczę się tworzenia aplikacji mobilnych. W weekendy lubię zrelaksować się wędkując.

Zobacz posty autora

Obecnie

Najnowsze wpisy

Social media

Artykuły które mogą Ci się spodobać

Ochrona na smartfony

Pakiety GravityZone

Dodatkowe warstwy

ㅤ

À la carte

Dostawcy usług

Webinaria i spotkania biznesowe

Szkolenia i usługi

Dlaczego Bitdefender

Informacje

Dokumenty

Kontakt