Баг в Steam позволял генерировать ключи для любых игр

За обнаружение бага Valve заплатила исследователю безопасности $20000.

В начале августа украинский исследователь Артем Московский нашел в программном интерфейсе Steam уязвимость. Ошибка была обнаружена в Steamworks — платформе, с помощью которой издатели и разработчики взаимодействуют с магазином Valve.

Уязвимость затрагивала сервис лицензионных ключей игр, выпущенных в Steam. С помощью соответствующего API разработчики могут генерировать новые ключи и затем выдавать их игрокам. Московский выяснил, что с помощью этого интерфейса генерировать ключи могли не только разработчики, но и все желающие.

На входе интерфейс принимал параметры appid (идентификатор игры), keyid (идентификатор набора ключей) и keycount (количество генерируемых ключей). Артем обнаружил, что если выставить параметру keycount значение 0, то можно обойти ограничение API и генерировать ключи для любых игр, присутствующих в Steam.

Во время экспериментов исследователю удалось успешно сгенерировать и загрузить больше 36 тысяч ключей для Portal 2. Также выяснилось, что с помощью этой уязвимости можно загружать наборы ключей, ранее созданных обычными разработчиками: параметр appid известен, keyid легко угадать.

Московский сообщил Valve о найденной уязвимости с помощью сервиса HackerOne. Спустя четыре дня баг в интерфейсе Steamworks был закрыт. За сообщение об уязвимости исследователь получил $20000: $15 тысяч награды и еще $5 тысяч в качестве бонуса.

Представители Valve не рассказали Артему, был ли он первым, кому удалось найти эту уязвимость, или она уже использовалась злоумышленниками. Сам исследователь полагает, что уязвимость ранее не использовалась.

Ранее Московский уже находил уязвимости в Steam. В июле он сообщил о находке SQL-инъекции — она тоже была найдена в платформе Steamworks. За обнаружение той уязвимости исследователь получил $25000.