Tvaiks
Valve’s Steam ir viena no populārākajām un veiksmīgākajām datora digitālās izplatīšanas platformām, tāpēc būtu loģiski, ka uzņēmums vēlas saglabāt to bez kļūdām. Drošības pētniekam Artemam Moskovskim, kurš atrada kļūdu, kas ļautu lietotājiem piekļūt funkcionējošām Steam spēles atslēgām, par viņa atradumu tika samaksāts 20 000 USD.
'Autentisks lietotājs varēja lejupielādēt iepriekš ģenerētus CD taustiņus spēlei, kurai parasti nebija piekļuves.' Valve paskaidro HackerOne Ziņot .
Pirmo reizi Moskovskis atklāja šo jautājumu augustā, un Valve to izdevās atrisināt tikai nesen. 11. augustā Moskovskim tika samaksāta bug bounty 15 000 USD ar 5000 USD prēmiju. Valve apgalvo, ka šī atslēgu ģenerēšanas metode ir saistīta ar audita žurnāliem un ka nav pierādījumu, ka kāds ļaunprātīgi izmantotu šo kļūdu.
'Izmantojot šo metodi, audita žurnāli netika apieti, un šo revīzijas žurnālu izpēte neuzrādīja iepriekšēju vai notiekošu šīs kļūdas izmantošanu.'
Runājot ar Reģistrs par savu atradumu, Moskovskis saka, “Šī kļūda tika nejauši atklāta, pētot tīmekļa lietojumprogrammas funkcionalitāti. To varēja izmantot jebkurš uzbrucējs, kuram bija piekļuve portālam. ”
Kā jūs, iespējams, nojaušat no lielās izmaksas, šī bija ļoti nopietna problēma, un Valve vajadzēja vismaz pāris nedēļas, lai to ielāpītu. Vienā gadījumā Moskovskim bija izdevies iegūt 36 000 Steam atslēgas portālam 2, nosaukumam, kas Steam veikalā nopērkams par 9,99 ASV dolāriem.
“Lai izmantotu ievainojamību, bija nepieciešams iesniegt tikai vienu pieprasījumu. Man izdevās apiet spēles īpašumtiesību pārbaudi, mainot tikai vienu parametru. Pēc tam es varētu ievadīt jebkuru ID citā parametrā un iegūt jebkuru atslēgu komplektu. ” pētnieks turpina.
HackerOne ziņojums, kurā sīki aprakstīta ievainojamība, tika publiskots tikai nesen, 31. oktobrī. Tagi kļūda tvaiks
![[FIX] Nintendo Switch kļūdas kods 9001-0026](https://jf-balio.pt/img/how-tos/79/nintendo-switch-error-code-9001-0026.png)
