A A A

Groźna luka w zabezpieczeniach platformy Steam

22 listopada 2018, 12:00
Błąd platformy steam pozwalał na nieautoryzowany dostęp do wszystkich kluczy licencyjnych, z pomocą których można aktywować pobrane gry komputerowe. Luka została odkryta i zgłoszona w sierpniu tego roku firmie Valve.
Groźna luka w zabezpieczeniach platformy Steam

 

Informacja o luce została ujawniona przez Valve dopiero teraz. Analityk bezpieczeństwa, który odkrył błąd - Artem Moskowsky postąpił zgodnie z zasadami etyki obowiązującej w środowisku zajmującym się bezpieczeństwem sieciowym i dał czas firmie Valve na załatanie luki, przed upublicznieniem informacji na jej temat.

Moskowsky znalazł błąd przez przypadek, w trakcie analizowania interfejsu programistycznego (API) Steama, umożliwiającego deweloperom i resellerom zarządzanie kluczami licencyjnymi gier sprzedawanych za pośrednictwem platformy.

Odkrywca luki zorientował się, że wystarczy niewielka zmiana w składni zapytania wysyłanego do API, aby otrzymać odpowiedź zawierającą chronione licencją klucze aktywacyjne gier komputerowych.

W celu uzyskania nieautoryzowanego dostępu do kluczy licencyjnych, należało złożyć wniosek o stworzenie na Steamie konta deweloperskiego, co może zrobić praktycznie każdy. W celu kradzieży kluczy wystarczyło w udokumentowanym żądaniu do API zmienić jeden parametr, by oszukać mechanizm weryfikujący czy zapytanie pochodzi od właściciela konta. Następnie w zapytaniu o udostępnienie kluczy trzeba było podmienić własne ID na ID innego dewelopera.

Według Moskowskyiego, z pomocą opisanej metody udało mu się uzyskać dostęp do 36 tys. kluczy licencyjnych gry Portal 2, stworzonej przez Valve - właściciela platformy. Przy cenie 9,99 USD za grę, potencjalny zysk z nielegalnej sprzedaży wykradzionych kluczy mógł wynieść 359 640 USD.

Błąd został zgłoszony za pośrednictwem hackerone.com. Jest to usługa do wskazywania problemów w zabezpieczeniach, pośrednicząca pomiędzy analitykami bezpieczeństwa sieciowego a deweloperami, którzy otrzymują czas na załatanie luk przed ich publicznym ujawnieniem.

Valve przyznał Moskowskyemu nagrodę w wysokości 15 tys. USD oraz dodatkową premię wynoszącą 5 tys. USD. Przeglądając rejestry hackerone.com można znaleźć inne zgłoszenie Moskowskyego, za które otrzymał wynagrodzenie w wysokości 25 tys. USD, również od Valve. Wygląda na to, że etyczne hakowanie to całkiem intratne zajęcie.

„Wielokrotnie zdarzało się, że sami hakerzy pokazywali, gdzie tkwi luka w zabezpieczeniach. Popularne serwisy, które przetwarzają poufne dane powinny z pewnością zainwestować w niezawodne zabezpieczenia. Warto też pamiętać, że jest coraz więcej nowych zagrożeń w Internecie, przez co raz zainstalowany program powinien być aktualizowany pod ich kątem" komentuje Dariusz Woźniak, inżynier techniczny Bitdefender z firmy Marken.

 


Krzysztof Mocek / Informacja prasowa
krzysztof.mocek@firma.interia.pl
Ocena:
Oceń:
Komentarze (0)

Redakcja nie ponosi odpowiedzialności za treść komentarzy. Komentarze wyświetlane są od najnowszych.
Najnowsze aktualności




Załóż konto
Co daje konto w serwisie pcformat.pl?

Po założeniu konta otrzymujesz możliwość oceniania materiałów, uczestnictwa w życiu forum oraz komentowania artykułów i aktualności przy użyciu indywidualnego identyfikatora.

Załóż konto