Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

Tag: steam

Spam kanałów na Discordzie – można dostać Nitro za darmo! Czyli przejmują konta Steam oraz instalują złośliwe oprogramowanie

02 stycznia 2023, 09:07 | W biegu | komentarzy 7
Spam kanałów na Discordzie – można dostać Nitro za darmo! Czyli przejmują konta Steam oraz instalują złośliwe oprogramowanie

Pewien użytkownik właśnie zaspamował serwer discordowy pewnej polskiej konferencji IT…na wszystkich kanałach mamy taką wiadomość: Co dalej? Dalej lądujemy na stronie gdzie jesteśmy proszeni o zalogowanie się na Steama (zapewne instalację stosownego oprogramowania): Chyba nikogo nie trzeba przekonywać że podanie loginu/hasła na tej stronie = przejęcie konta (oraz infekcja komputera…

Czytaj dalej »

Jak można było sobie dowolnie zwiększyć saldo portfela na platformie Steam? Krytyczna luka w Smart2Pay

12 sierpnia 2021, 18:15 | W biegu | komentarze 2
Jak można było sobie dowolnie zwiększyć saldo portfela na platformie Steam? Krytyczna luka w Smart2Pay

Steam to jedna z największych i najpopularniejszych platform do dystrybucji cyfrowej gier komputerowych, stworzona przez Valve Corporation w 2003 roku. Jeśli jesteś graczem, to prawdopodobnie korzystasz z tego serwisu na co dzień… Oczywiście za gry w większości przypadków przyjdzie nam zapłacić, i to niemało, bo często nawet ~ 200 PLN:…

Czytaj dalej »

Groźna podatność w kliencie Steam. Zgłosił błąd, który został odrzucony. Opublikował więc exploit.

10 sierpnia 2019, 11:19 | W biegu | komentarze 3

Ciekawa historia podatności w kliencie Steam. Można dzięki niej mając uprawnienia zwykłego użytkownika, eskalować je do administratora (dokładniej LOCALSYSTEM). Badacz zgłosił problem do Valve w ramach programu bug bounty, ale problem został odrzucony z adnotacją: „not applicable„, jednocześnie Valve nie chciało aby opublikować szczegóły problemu. Badacz się tym nie przejął…

Czytaj dalej »

Otrzymał ~70 000 PLN za podatność w kliencie Steam. Można dostać się na komputer gracza jeśli odwiedzi on „zwykłą” stronę

16 marca 2019, 10:41 | Aktualności, W biegu | komentarzy 5

Podatność opisana jest tutaj, wypłata $18 000.  Buga załatano niedawno w kliencie Steam dla Windows, Linux, OS X (choć ta ostatnia prawdopodobnie nie jest wykorzystywalna – ma wkompilowaną pewną ochronę przed podatnościami klasy buffer overflow). Pełen atak polega na wejściu ofiary na zainfekowaną stronę webową, po czym na komputerze ofiary…

Czytaj dalej »

Można było pobrać wszystkie klucze, wszystkich gier z całego Steam

09 listopada 2018, 19:53 | W biegu | komentarze 4

Zobaczcie na opis tego błędu: „Getting all the CD keys of any game” mówi samo za siebie. Podatność istniała w API Steamworks, a dokładniej tutaj: partner.steamgames.com/partnercdkeys/assignkeys/ Wśród przekazywanych parametrów były:  appid (ID gry), keyid (ID zbioru kluczy aktywacyjnych) oraz keycount (ile kluczy ma być zwrócone). Jeśli teraz podawaliśmy grę + np. pierwszy zbiór…

Czytaj dalej »

Poczytali sekuraka i złamali AES-256 w popularnej platformie dla graczy – Steam

01 maja 2016, 07:53 | W biegu | komentarze 2

Jeśli komunikacja jest szyfrowana za pomocą algorytmu AES-256 (ze złożonym kluczem) – to nie da się jej zdeszyfrować, prawda? No niekoniecznie, jak pokazaliśmy w ostatnim tekście na sekuraku, atak Padding Oracle umożliwia deszyfrację takiego ruchu, a w artykule Breaking Steam Client Cryptografy, pokazano jak taki atak wykonać na konkretnej implementacji. –ms

Czytaj dalej »