Valve заплатила 20 тысяч долларов за обнаружение бага, который позволял получать бесплатные игры в Steam
Компания сообщает, что злоумышленники им воспользоваться не успели.
Портал Kotaku обратил внимание, что в конце октября Valve обнародовала информацию об уязвимости в Steam. О ней ещё в августе сообщил пентестер Артём Московский (penetration tester; специалист, который проверяет безопасность информационных систем при помощи взлома и поиска уязвимостей).
Эта ошибка позволяла потенциальным злоумышленникам, у которых есть доступ к вкладке разработчика, генерировать неограниченное количество ключей. Для этого нужно было использовать «подходящие параметры» ввода на странице /partnercdkeys/assignkeys. В разговоре с изданием The Register Московский подчеркнул, что при помощи бага он заставил систему сгенерировать 36 тысяч ключей к Portal 2.
За обнаружение бага Valve выплатила специалисту 20 тысяч долларов. Как показала проверка компании, злоумышленники не успели воспользоваться уязвимостью.
В конце августа редактор Kotaku Джейсон Шрайер рассказал про индустрию «охотников за ключами», которые обманывают разработчиков, чтобы получить бесплатные коды и продать их на нелегальных площадках.
Московский не первый раз находит уязвимости в Steam. В июле Valve выплатила ему 25 тысяч долларов за обнаружение бага, при помощи которого можно было получить информацию из базы данных.