हैकर को स्टीम बग की खोज के लिए वाल्व से 20,000 डॉलर मिलते हैं जो फ्री स्टीम कीज उत्पन्न करता है

भाप

वाल्व की स्टीम पीसी पर सबसे लोकप्रिय और सफल डिजिटल वितरण प्लेटफ़ॉर्म में से एक है, इसलिए यह समझ में आता है कि कंपनी इसे बग मुक्त रखना चाहेगी। सुरक्षा शोधकर्ता आर्टेम मॉस्कोस्की ने एक बग पाया, जो उपयोगकर्ताओं को स्टीम गेम कुंजियों पर काम करने के लिए अपना हाथ रखने की अनुमति देता है, उनके खोज के लिए 20,000 डॉलर का भुगतान किया गया था।

'एक प्रमाणित उपयोगकर्ता एक गेम के लिए पहले से जेनरेट की गई सीडी कीज़ डाउनलोड कर सकता है, जिसे वे सामान्य रूप से एक्सेस नहीं करेंगे,' हैकरऑन में वाल्व बताते हैं रिपोर्ट good ।

इस मुद्दे को सबसे पहले अगस्त में मोस्कोस्की ने खोजा था और वाल्व ने हाल ही में इसे हल करने में कामयाबी हासिल की। 11 अगस्त को, मोस्कोस्की को 5000 डॉलर के बोनस के साथ $ 15,000 का बग बाउंटी दिया गया। वाल्व का दावा है कि चाबियाँ बनाने का यह तरीका ऑडिट लॉग से बंधा है, और इस बग का दुरुपयोग करने वाले किसी व्यक्ति का कोई सबूत नहीं है।

'ऑडिट लॉग को इस पद्धति का उपयोग करके बाईपास नहीं किया गया था, और उन ऑडिट लॉग की एक जांच ने इस बग का कोई पूर्व या चल रहा शोषण नहीं दिखाया था।'

के साथ बोल रहा हूँ रजिस्टर अपने खोज के बारे में, मोस्कोव्स्की कहते हैं, “वेब एप्लिकेशन की कार्यक्षमता की खोज के दौरान इस बग को यादृच्छिक रूप से खोजा गया था। इसका उपयोग किसी भी हमलावर द्वारा किया जा सकता था, जिसकी पोर्टल तक पहुंच थी। ”

जैसा कि आप शायद बड़े भुगतान से अनुमान लगाएंगे, यह एक बहुत ही गंभीर मुद्दा था और इसने कम से कम कुछ हफ़्ते में पैच को वाल्व ले लिया। एक मामले में, Moskowsky ने पोर्टल 2 के लिए 36,000 स्टीम कीज़ हासिल करने में कामयाबी हासिल की, एक शीर्षक जो स्टीम स्टोर पर $ 9.99 के लिए रिटेल करता है।

“भेद्यता का फायदा उठाने के लिए, केवल एक अनुरोध करना आवश्यक था। मैं केवल एक पैरामीटर को बदलकर खेल के स्वामित्व के सत्यापन को बायपास करने में कामयाब रहा। उसके बाद, मैं किसी भी आईडी को दूसरे पैरामीटर में दर्ज कर सकता हूं और चाबी का कोई भी सेट प्राप्त कर सकता हूं। शोधकर्ता जारी है।