O Steam tinha um bug com o qual você poderia ter acesso a todas as chaves de ativação de qualquer videogame. A descoberta foi feita em agosto último mas só agora revelada, após a correção do problema. Confira aqui que uma falha no Steam permitia acesso ilimitado a jogos.
Qualquer jogo
O problema descoberto pelo pesquisador de segurança ucraniano Artem Moskovsky é o sonho de muitos jogadores. Assim, o bug no Steamworks permitiu obter as chaves de qualquer qualquer jogo.
Moskowsky relatou o bug há três meses, em 7 de agosto, para ser exato. Quatro dias depois, a Valve resolveu o problema e pagou-lhe uma recompensa de 20 mil dólares. Porém, somente recentemente a notícia se tornou pública.
Valve disclosed a bug submitted by @moskowsky: https://t.co/rEHP25Fd6m – Bounty: $20,000 #hackerone #bugbounty pic.twitter.com/kiueQnrk8A
— publiclyDisclosed (@disclosedh1) 31 de outubro de 2018
Um problema na Steamworks
O bug afetou o Steamworks, a API da Valve que ajuda os desenvolvedores a criar e publicar jogos ou mods em suas plataformas. O problema estava em partner.steamgames.com/partnercdkeys/assignkeys/
Portanto, um usuário autenticado poderia baixar chaves de CD geradas anteriormente para um jogo ao qual normalmente não teria acesso.
O pesquisador descobriu que, no momento de reivindicar uma chave de ativação que ele não tinha, ele alterou o parâmetro de contagem de chaves para “0”. Assim, ele poderia ignorar as limitações da API. Ou seja, qualquer um que seguisse os passos descobertos por Moskowsky poderia ativar qualquer videogame Steam sem tê-lo comprado.
Milhares de chaves de ativação
O pesquisador conseguiu gerar e baixar mais de 36.000 chaves de CD do Portal 2 durante seus testes.
Além disso, ele percebeu que um invasor podia verificar todos os identificadores dos jogos Steam e baixar absolutamente todos os seus arquivos.
Esse bug foi qualificado como uma falha de severidade crítica. No entanto, a Valve não informou se ela já era explorada antes que Moskowsky a informasse.
Outras falhas
Um mês antes disso, Moskowsky já havia recebido a recompensa máxima de US $ 25.000 da Valve. Da mesma forma, ele havia descoberto e relatado uma falha de injeção de SQL no mesmo portal da Steamworks.
Moskowsky relatou à ZDNet que teve um ano muito proveitoso. Igualmente, ele já havia recebido anteriormente US $ 18.000 do pool de mineração ViaBTC e outros US $ 13.300 da Samsung.