Уязвимость в Steam позволяла загружать ключи активации к любым играм
Украинский исследователь безопасности Артем Московский обнаружил уязвимость, позволившую ему загрузить ключи активации любых игр, когда-либо выпущенных через Steam. Проблема затрагивала платформу Steamworks от Valve, используемую разработчиками для создания и публикации игр через клиент Steam.
Сама уязвимость присутствовала в Steam web API, расположенном в partner.steamgames.com/partnercdkeys/assignkeys/. Данный API позволяет разработчикам получать доступные пользователям Steam ключи активации и предоставлять их своим пользователям, чтобы они могли активировать игры, загруженные через клиент Steam.
Получить доступ к API можно через обычную учетную запись, указав необходимые параметры. Наиболее важными параметрами являются appid (представляет игру), keyid (представляет идентификатор набора ключей активации) и keycount (представляет число ключей, которые Steam нужно вернуть в наборе ключей активации).
В обычных условиях при попытке разработчика получить ключи к чужой игре Steam выдает ошибку. Тем не менее, исследователю удалось получить файл с ключами активации любых игр, указав «0» в качестве параметра keycount.
Московский сообщил Valve об уязвимости еще в августе нынешнего года, и компания исправила ее в течение нескольких дней, однако раскрыть подробности о проблеме исследователю было разрешено только сейчас. За сообщение об уязвимости ему было выплачено вознаграждение в размере $20 тыс.
Читайте также
- Ошибка в API Facebook предоставляла доступ к фото 6,8 млн пользователей
- Одного ноутбука оказалось достаточно для компрометации всей корпоративной сети
- Депутаты Госдумы разработали план по обеспечению работы Рунета на случай отключения от Сети
- Морские суда часто подвергаются кибератакам
- 25 декабря состоится встреча сообщества специалистов по кибербезопасности АСУ ТП / RUSCADASEC
- Уязвимость в приложении Logitech позволяла удаленно инициировать нажатие клавиш
