Publicidade
Economize: canal oficial do CT Ofertas no WhatsApp Entrar
Home
Notícias
Segurança

Bug no Steam poderia dar a hackers licenças de jogos na plataforma

Por| 13 de Novembro de 2018 às 09h59

Link copiado!

Bug no Steam poderia dar a hackers licenças de jogos na plataforma
Bug no Steam poderia dar a hackers licenças de jogos na plataforma

O pesquisador de segurança digital Artem Moskowsky identificou e reportou à Valve uma falha de segurança no Steam que, nas mãos de pessoas mal intencionadas, poderia render-lhes acesso a milhares de licenças de jogos. A Valve já corrigiu o problema com um patch e, como agradecimento, recompensou o especialista com US$ 20 mil.

Segundo Moskowsky, a falha podia ser explorada a partir do site do Steam dedicado a desenvolvedores e parceiros, que têm acesso à página para monitorar os insights relacionados aos seus jogos dentro da plataforma. O bug consistia em “fazer alterações bem simples de um pedido na API, que devolveria a requisição com várias chaves de ativação”. Tais chaves, antigamente conhecidas como “CD Keys”, são responsáveis por ativar e rodar jogos baixados pela plataforma.

“Esse bug foi descoberto aleatoriamente durante a exploração de uma funcionalidade da aplicação web”, conta Moskowsky. “Qualquer pessoa que tivesse acesso ao portal [de desenvolvedores e parceiros] poderia usá-lo. Para explorar a vulnerabilidade, era necessário apenas uma requisição feita pela API. Eu consegui evitar essa verificação de propriedade de um jogo apenas alterando um único parâmetro. Depois disso, eu poderia inserir qualquer ID em outro parâmetro e receber de volta uma série de chaves”.
Continua após a publicidade

Colocando em termos práticos, Moskowski conta que, em um teste para confirmar a falha, ele inseriu uma string aleatória em uma requisição da API e, como retorno, recebeu 36 mil licenças do jogo Portal 2, que é vendido na Steam por US$ 9,99. Um hacker que tenha em mãos essa quantidade de licenças poderia vendê-las, efetivamente pirateando títulos do Steam.

Felizmente, Artem Moskowsky preferiu fazer a coisa certa e reportar o problema por meio do portal HackerOne em agosto. Isso deu à Valve o tempo necessário para criar e disponibilizar um patch de correção aos desenvolvedores. Como recompensa, Moskowsky recebeu um cheque de US$ 15 mil, mais US$ 5 mil adicionais.

Fonte: The Register