Peretas hadiah Artem Moskowsky telah berhasil mengelabui klien Steam agar memberinya banyak permainan gratis dalam keadaan tertentu. Memang menggoda, tetapi melaporkan bug tersebut ke Valve memberinya cek besar sebesar $20.000 dari paman Gabe.
Apa yang dilakukan Moscowsky adalah mengelabui layanan sebagai pengguna terautentikasi agar memberinya semua kunci yang dibuat sebelumnya untuk game apa pun yang diinginkannya. Laporan bug menyatakan bahwa dia melakukannya "Menggunakan titik akhir /partnercdkeys/assignkeys/ di partner.steamgames.com dengan parameter tertentu".
Moskowsky mengklaim bahwa hal itu semudah melakukan satu perubahan. “Saya berhasil melewati verifikasi kepemilikan game dengan hanya mengubah satu parameter. Setelah itu, saya bisa memasukkan ID apa pun ke parameter lain dan mendapatkan set kunci apa pun”, katanya.
Anehnya, usahanya untuk menguji eksploitasi tersebut dengan game acak menghasilkan Portal 2, atau lebih tepatnya 36.000 salinan game milik Valve. Mengingat Portal 2 masih cukup murah, dengan harga $10 di Steam, ini masih merupakan kerugian finansial yang besar, yang bisa menjadi bencana besar untuk beberapa game yang lebih mahal.
Untungnya, Valve mengklaim bahwa log audit Steam tidak dilewati menggunakan metode ini dan tidak ada alasan untuk khawatir. Investigasi mereka menunjukkan bahwa bug tersebut belum pernah dieksploitasi sebelumnya, jadi ya, tidak ada yang mencuri game yang tidak akan Anda mainkan.
Laporan bug di HackerOne menggambarkan tingkat keparahan masalah ini sebagai kritis 9-10, yang pada akhirnya menghasilkan hadiah $15.000 bagi Moskowsky dengan bonus $5.000 di atasnya. Perhatikan bahwa pria tersebut adalah pemburu bug yang mahir, dengan pengalaman panjang bekerja dengan Valve. Eh, melawan Valve. Ya, Anda tahu apa yang saya maksud.
Bagaimanapun, salah satu eksploitasi Steam-nya dari empat bulan lalu menghasilkan $25.000 dan sejarahnya dengan platform tersebut mencakup banyak laporan bug yang lebih kecil. Berbicara dengan The Register, Moskowsky mengatakan bahwa dia telah melakukan penelitian keamanan sejak dia masih di sekolah, yang pada akhirnya menjadikannya pilihan karier.
Katup
Anda dapat menemukan laporan lengkap tentang bug kerentanan Steam dan wawancara Moskowsky dengan The Register.
