Pred niekoľkými týždňami bola na platforme Steam objavená chyba, ktorá umožňovala používateľovi získať akékoľvek množstvo kľúčov a to ku ktorejkoľvek hre v knižnici. Objavená bola ukrajinským ‚‚hľadačom chýb,’’ ktorý si za to vyslúžil poriadny balík peňazí.

Chyba sa nachádza v sekcii Steamworks, ktorá funguje ako platforma pri vydávaní a budovaní hier prostredníctvom klienta Steam. Moskowski našiel chybu na stránke partner.steamgames.com/partnercdkeys/assignkeys, ktorá umožňuje vývojárom a pridruženým spoločnostiam získavať aktivačné kľúče. Dané API je prístupné aj pomocou bežného účtu a k získaniu kľúčov stačilo zmeniť len jeden jediný parameter.

Za upozornenie na chybu získal vysokú odmenu

Celý spôsob získania kľúčov spočíval v tom, že sa zmenil parameter keycount na „0“. Chyba tak nebola komplikovaná, no pre bežného používateľa bola ťažko pozorovaná a preto je tiež málo pravdepodobné, že došlo k nejakému zneužitiu. Spoločnosť Valve ohľadom incidentu dlho mlčala a až nedávno zverejnila správu, v ktorej bola chyba v ich rozhraní priznaná.

Moskowski prezradil, že počas testovania bol schopný získať až 36 000 kľúčov k hre Portal 2. Následne si však uvedomil, že stačí vedieť ID akejkoľvek hry a zopakovaním postupu by získal prístup ku ktorejkoľvek z nich. Namiesto zneužitia však zvolil cestu ohlásenia chyby pomocou spoločnosti HackerOne a Valve v priebehu pár dní chybu opravila.

Zobraziť celú galériu (2)

HackerOne

Prečítaj si tiež
Na Steame sa objavila kontroverzná hra, ktorej cieľom bolo vystrieľať čo najviac žiakov

Moskowski za to získal odmenu 20 000 dolárov, čo je jedna z najvyšších odmien, akú kedy Valve vyplatilo za odhalenie bugu. Len mesiac dozadu pritom na rovnakej platforme objavil ďalšiu chybu, pričom si polepšil o 25 000 dolárov. Okrem toho získal však získal mnoho ďalších odmien od rôznych veľkých spoločností, ktorým pomohol odhaliť ich slabé miesta a pravdepodobne im tak ušetril omnoho viac peňazí, než mu bolo za odmenu vyplatené.