Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

Sprawdź VPS od Aruba!

Aruba

Można było pobrać wszystkie klucze, wszystkich gier z całego Steam

09 listopada 2018, 19:53 | W biegu | komentarze 4
Tagi: , ,

Zobaczcie na opis tego błędu: „Getting all the CD keys of any game” mówi samo za siebie.

Podatność istniała w API Steamworks, a dokładniej tutaj: partner.steamgames.com/partnercdkeys/assignkeys/

Wśród przekazywanych parametrów były:  appid (ID gry), keyid (ID zbioru kluczy aktywacyjnych) oraz keycount (ile kluczy ma być zwrócone). Jeśli teraz podawaliśmy grę + np. pierwszy zbiór kluczy oraz 1 lub więcej kluczy do pobrania, to jeśli nie mieliśmy uprawnień dostawaliśmy błąd. Ale „magię” robiło podanie wartości keycount na 0. Mogliśmy podać dowolny ID gry oraz dowolny zbiór kluczy – i dostawaliśmy je wszystkie.

W ramach PoC badacz pobrał 36 000 kluczy dla gry Portal 2. Steam wypłacił $20 000 za zgłoszenie błędu.

–ms

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. rofl
    11 listopada, 2018 | 2:03 pm

    20k $ za klucze ktore sprzedadza w mln $.. to jest biznes

    Odpowiedz
    • Tony Halik
      13 listopada, 2018 | 3:47 pm

      @rofl
      pewnie, lepiej mu się opłacało je sprzedawać i trafić do pierdla na 10 lat :D

      Odpowiedz
  2. Tony Hołk
    12 listopada, 2018 | 2:21 pm

    W ramach dodatku powinien dostać platynowe konto STEAM z dostępem do każdej gry :)

    Odpowiedz
  3. Vader
    13 listopada, 2018 | 4:47 pm

    Oczywiście samo konto wystarczy klucze sobie posciaga sam :-)

    Odpowiedz

Odpowiedz