Można było pobrać wszystkie klucze, wszystkich gier z całego Steam

09 listopada 2018, 19:53 | W biegu | komentarze 4
: zin o bezpieczeństwie - pobierz w pdf/epub/mobi.

Zobaczcie na opis tego błędu: „Getting all the CD keys of any game” mówi samo za siebie.

Podatność istniała w API Steamworks, a dokładniej tutaj: partner.steamgames.com/partnercdkeys/assignkeys/

Wśród przekazywanych parametrów były:  appid (ID gry), keyid (ID zbioru kluczy aktywacyjnych) oraz keycount (ile kluczy ma być zwrócone). Jeśli teraz podawaliśmy grę + np. pierwszy zbiór kluczy oraz 1 lub więcej kluczy do pobrania, to jeśli nie mieliśmy uprawnień dostawaliśmy błąd. Ale „magię” robiło podanie wartości keycount na 0. Mogliśmy podać dowolny ID gry oraz dowolny zbiór kluczy – i dostawaliśmy je wszystkie.

W ramach PoC badacz pobrał 36 000 kluczy dla gry Portal 2. Steam wypłacił $20 000 za zgłoszenie błędu.

–ms

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. rofl

    20k $ za klucze ktore sprzedadza w mln $.. to jest biznes

    Odpowiedz
    • Tony Halik

      @rofl
      pewnie, lepiej mu się opłacało je sprzedawać i trafić do pierdla na 10 lat :D

      Odpowiedz
  2. Tony Hołk

    W ramach dodatku powinien dostać platynowe konto STEAM z dostępem do każdej gry :)

    Odpowiedz
  3. Vader

    Oczywiście samo konto wystarczy klucze sobie posciaga sam :-)

    Odpowiedz

Odpowiedz