近日,Valve公司向发现Steam开发端重大漏洞的安全研究员Artem Moskowsky支付了一笔2万美元的奖励,被称为Bug猎人的Artem Moskowsky发现Steam开发端存在“可创建无限个序列号免费玩游戏”,如果漏洞被黑客利用,Valve将损失数以万计的游戏销售。
Moskowsky向The Register透露,他意外地在Steam 开发 端发现了这一漏洞,开发端可允许游戏制作者管理其发布的游戏产品,其中有一个API允许开发者为自己发布的作品生成激活序列号,以提前向媒体和评测者提供游戏测试。
Moskowsky这个API中非常容易通过修改参数来请求其它任意的游戏作品,理论上可无视其版权拥有者,利用这个漏洞,只需要拥有一个开发者账号就能够为任意Steam上的数字游戏生成序列号。
Moskowsky向Valve报告了这个Bug,为了演示这个bug,他成功让Steam产生了3.6万个《传送门2》的序列号,如果被滥用Valve就会立即损失36万美元的销售额。
在过去三年中Moskowsky向Valve曝光了19个Bug,大部分的奖励金额在500-750美元之间,而去年7月,他在Steam上发现了SQL注入关键漏洞,他因此获得了2.5万美元奖励。
粤公网安备 44010602000162号
网友评论