阅读量:148 | 发布时间:2024-06-14 14:16:05
有一天,Artem Moskowsky 正在 Steam 开发者网站上测试一款网络应用程序,突然他注意到一个错误:他可以生成游戏密钥——数千个。
莫斯科斯基告诉 The Register,通过修改几个参数,他一度能够生成 36,000 个《传送门 2》密钥。这种密钥可以激活 Steam 上的游戏,因此其价值相当于一款完整游戏。
对于黑客来说,这就像中了头奖一样——但也不完全是。Moskowsky 生成的密钥以前也生成过,所以可能以前用过。他不是在为 Portal 2 创建 36,000 个新密钥,而是看到了为它生成的 36,000 个密钥。
尽管如此,莫科夫斯基还是掌握了宝贵的信息——事实上,这些信息非常有价值,Valve 为此支付了 15,000 英镑。
“只要我们齐心协力,就能让 Steam 和互联网更加安全。” -Valve
您可以在漏洞报告平台 HackerOne 上查看事件的时间线。
8 月 7 日,Moskowsky 报告了该漏洞。“使用 partner.steamgames.com 上的 /partnercdkeys/assignkeys/ 端点和特定参数,经过身份验证的用户可以下载之前生成的游戏 CD 密钥,而他们通常无法访问该密钥。”
几天后,即 8 月 11 日,Valve 向 Moskowsky 奖励了 20,000 美元。但这笔奖金直到 2018 年 10 月 31 日才公开披露。
你可能会想,Artem Moskowsky 举报此事是多么高尚,Valve 奖励他是多么好,但这实际上是 HackerOne 计划中的一种常见反应,Valve 必须奖励那些在其工作中发现漏洞的研究人员。
仅在一个月前,莫斯科夫斯基本人就曾从 Valve 获得 25,000 美元的奖励。
Valve 的 HackerOne 页面上写道:“Valve 认识到保护隐私和安全的重要性。我们明白,安全的产品和服务对于建立和维护用户的信任至关重要。我们致力于在所有产品和服务中始终如一地提供安全、愉快的体验。”
“安全涉及每个人。我们的 Steam 用户、我们的开发人员、第三方软件开发人员和安全社区。共同努力,我们可以让 Steam 和互联网更安全。
“我们网络和服务的安全对我们和您来说都很重要。我们对此非常重视。如果您是 Steam 用户并且有关于您个人 Steam 帐户的安全问题需要报告,请访问我们的支持网站。这包括密码问题、登录问题、疑似欺诈和帐户滥用问题。
“我们正在运行这个 HackerOne 赏金计划,以奖励发现潜在漏洞的研究人员。请查看以下详细说明此漏洞赏金计划规则的指南。只有遵循这些指南的研究才有资格获得赏金。”
马上回来;成为一名研究员。
