Уязвимость в Steam позволяла загружать ключи активации к любым играм
За сообщение об уязвимости исследователь безопасности получил от Valve $20 тыс.
Украинский исследователь безопасности Артем Московский обнаружил уязвимость, позволившую ему загрузить ключи активации любых игр, когда-либо выпущенных через Steam. Проблема затрагивала платформу Steamworks от Valve, используемую разработчиками для создания и публикации игр через клиент Steam.
Сама уязвимость присутствовала в Steam web API, расположенном в partner.steamgames.com/partnercdkeys/assignkeys/. Данный API позволяет разработчикам получать доступные пользователям Steam ключи активации и предоставлять их своим пользователям, чтобы они могли активировать игры, загруженные через клиент Steam.
Получить доступ к API можно через обычную учетную запись, указав необходимые параметры. Наиболее важными параметрами являются appid (представляет игру), keyid (представляет идентификатор набора ключей активации) и keycount (представляет число ключей, которые Steam нужно вернуть в наборе ключей активации).
В обычных условиях при попытке разработчика получить ключи к чужой игре Steam выдает ошибку. Тем не менее, исследователю удалось получить файл с ключами активации любых игр, указав «0» в качестве параметра keycount.
Московский сообщил Valve об уязвимости еще в августе нынешнего года, и компания исправила ее в течение нескольких дней, однако раскрыть подробности о проблеме исследователю было разрешено только сейчас. За сообщение об уязвимости ему было выплачено вознаграждение в размере $20 тыс.
Устали от того, что Интернет знает о вас все?