แฮ็กเกอร์ค่าหัวของ Steam เปิดเผยข้อผิดพลาดในการสร้างเกมฟรี

Artem Moskowsky แฮกเกอร์ Bounty หลอกลูกค้า Steam ให้มอบเกมมากมายให้เขาฟรีภายใต้สถานการณ์บางอย่าง ใช่ น่าสนใจ แต่การรายงานข้อผิดพลาดไปยัง Valve ทำให้เขาได้รับเช็คไขมันจำนวน 20,000 ดอลลาร์จากลุง Gabe

สิ่งที่ Moscowsky ทำคือการหลอกลวงบริการในฐานะผู้ใช้ที่ได้รับการรับรองความถูกต้องให้มอบคีย์ที่สร้างขึ้นก่อนหน้านี้ทั้งหมดสำหรับเกมที่เขาต้องการ รายงานข้อผิดพลาดระบุว่าเขาทำเช่นนั้น "การใช้ /partnercdkeys/assignkeys/ ตำแหน่งข้อมูลบน Partner.steamgames.com ด้วยพารามิเตอร์เฉพาะ"

Moskowsky อ้างว่ามันง่ายพอๆ กับการปรับแต่งเพียงครั้งเดียว "ฉันสามารถข้ามการตรวจสอบความเป็นเจ้าของเกมได้โดยการเปลี่ยนพารามิเตอร์เพียงตัวเดียว หลังจากนั้น ฉันสามารถป้อน ID ใด ๆ ลงในพารามิเตอร์อื่นและรับชุดคีย์ใดก็ได้" เขากล่าว

น่าแปลกที่ความพยายามของเขาในการทดสอบการหาประโยชน์ด้วยเกมสุ่มพ่นพอร์ทัล 2 หรือเกมของ Valve จำนวน 36,000 ชุดที่แม่นยำยิ่งขึ้น เมื่อเห็นว่า Portal 2 ยังมีราคาถูกอยู่ โดยมีราคา 10 ดอลลาร์บน Steam แต่ก็ยังถือว่ามีฐานะทางการเงินที่หนักหน่วง ซึ่งอาจเป็นหายนะสำหรับเกมที่มีราคาแพงกว่าบางเกม

โชคดีที่ Valve อ้างว่าบันทึกการตรวจสอบของ Steam ไม่ได้ถูกข้ามโดยใช้วิธีนี้ และไม่มีเหตุผลที่ต้องกังวล การสืบสวนของพวกเขาได้แสดงให้เห็นว่าจุดบกพร่องไม่เคยถูกนำไปใช้ประโยชน์ก่อนหน้านี้ ดังนั้น ไม่มีใครขโมยเกมเหล่านั้นได้ ยังไงซะคุณก็จะไม่เล่นอยู่ดี

รายงานข้อผิดพลาดของ HackerOne อธิบายความรุนแรงของปัญหาว่าวิกฤต 9-10 ซึ่งท้ายที่สุดแล้วทำให้ Moskowsky ได้รับเงินรางวัล 15,000 ดอลลาร์พร้อมโบนัสอีก 5,000 ดอลลาร์ โปรดทราบว่าชายผู้นี้เป็นนักล่าแมลงที่เชี่ยวชาญ โดยมีประวัติการทำงานกับ Valve มายาวนาน อืม กับ Valve ใช่แล้ว คุณก็รู้ว่าฉันหมายถึงอะไร

อย่างไรก็ตาม หนึ่งในการหาประโยชน์บน Steam ของเขาเมื่อสี่เดือนที่แล้วทำให้เขาได้รับเงิน 25,000 ดอลลาร์ และประวัติของเขากับแพลตฟอร์มนี้ก็มีรายงานข้อผิดพลาดเล็กๆ น้อยๆ อีกจำนวนหนึ่ง Moskowsky กล่าวกับ The Register ว่าเขาทำการวิจัยด้านความปลอดภัยมาตั้งแต่สมัยเรียน และท้ายที่สุดก็ทำให้งานวิจัยนี้เป็นทางเลือกอาชีพ

วาล์วแพลตฟอร์ม Steam ของ Valve