Actualités du jeu
Ajouter cet article à vos favoris
Publié :08h05, 13 novembre 2018
AltChar
Le point idéal de Steam
Le pirate informatique de Bounty, Artem Moskowsky, a réussi à tromper le client de Steam pour qu'il lui offre un certain nombre de jeux gratuitement dans certaines circonstances. C'est tentant, oui, mais signaler le bug à Valve lui a valu un gros chèque de 20 000 $ de la part de son oncle Gabe.
Ce que Moscowsky a fait, c'est tromper le service en tant qu'utilisateur authentifié pour qu'il lui donne toutes les clés générées précédemment pour le jeu de son choix. Le rapport de bug indique qu'il l'a fait "en utilisant le point de terminaison /partnercdkeys/assignkeys/ sur Partner.steamgames.com avec des paramètres spécifiques".
Moskowsky affirme que c'était aussi simple que de faire un seul ajustement. "J'ai réussi à contourner la vérification de la propriété du jeu en modifiant un seul paramètre. Après cela, je pouvais entrer n'importe quel identifiant dans un autre paramètre et obtenir n'importe quel jeu de clés", a-t-il déclaré.
Curieusement, sa tentative de tester l'exploit avec un jeu aléatoire a craché Portal 2, ou plus précisément 36 000 exemplaires du jeu de Valve. Étant donné que Portal 2 est encore assez bon marché, à 10 $ sur Steam, cela représente toujours un gros coup financier, qui aurait pu être catastrophique pour certains jeux plus chers.
Heureusement, Valve affirme que les journaux d'audit de Steam ne sont pas contournés en utilisant cette méthode et qu'il n'y a aucune raison de s'inquiéter. Leur enquête a montré que le bug n'avait pas été exploité auparavant, donc oui, personne ne vole les jeux auxquels vous ne jouerez pas de toute façon.
Le rapport de bug sur HackerOne décrit la gravité du problème comme critique 9-10, ce qui a finalement valu à Moskowsky 15 000 $ de prime avec un bonus de 5 000 $ en plus. Notez que l’homme est un chasseur de bugs compétent, avec une longue expérience de travail avec Valve. Euh, contre Valve. Ouais, tu vois ce que je veux dire.
Quoi qu'il en soit, l'un de ses exploits Steam d'il y a quatre mois lui a rapporté 25 000 $ et son historique avec la plate-forme comprend un autre tas de rapports de bugs plus petits. S'adressant à The Register, Moskowsky a déclaré qu'il faisait des recherches sur la sécurité depuis qu'il était à l'école, ce qui en a finalement fait un choix de carrière.
Soupape
Vous pouvez trouver le rapport complet sur le bug de vulnérabilité de Steam et l'interview de Moskowsky avec The Register sur.
