Een beveiligingslek in het populaire gamingplatform Steam maakte het mogelijk om de cd-keys van elk spel te bemachtigen, zo ontdekte onderzoeker Artem Moskowsky. Steam is een platform voor de pc waarop gebruikers games en software kunnen aanschaffen. Het heeft naar eigen zeggen meer dan 125 miljoen gebruikers. Via cd-keys kunnen gebruikers games op Steam activeren.
De kwetsbaarheid bevond zich in SteamWorks, een verzameling gratis tools waarmee ontwikkelaars allerlei functionaliteiten van Steam binnen hun eigen spel of software kunnen implementeren. Steam biedt een programmeerinterface (API) waarmee ontwikkelaars beschikbaar gemaakte cd-keys kunnen ophalen. Op deze manier kunnen gebruikers de games activeren waarvoor ze een cd-key hebben verkregen. Deze interface is ook voor gebruikers toegankelijk.
Bij het ophalen van cd-keys voor games die een gebruiker niet bezit geeft de interface een foutmelding. Door het aanpassen van een parameter kon Moskowsy deze beperking omzeilen en cd-keys opvragen voor games die hij niet in zijn bezit had, zo laat de onderzoeker tegenover ZDNet weten. Door het aanpassen van andere parameters zou het uiteindelijk mogelijk zijn geweest om de cd-keys van elk spel op te vragen.
Valve, de ontwikkelaar van Steam, organiseert via HackerOne een beloningsprogramma voor onderzoekers die kwetsbaarheden vinden en willen rapporteren. HackerOne is een platform dat softwarebedrijven, overheden en andere organisaties een beloningsprogramma's voor hackers en onderzoekers laat organiseren en handelt de coördinatie tussen de bugmelder en softwareleverancier af.
Moskowsky rapporteerde het probleem bij HackerOne op 7 augustus, waarna het binnen een paar dagen werd verholpen. Voor zijn bugmelding ontving hij een beloning van 15.000 dollar en een bonus van 5.000 dollar. Op 14 augustus vroeg de onderzoeker of de bugmelding openbaar mocht worden gemaakt, waar op 31 oktober toestemming voor werd gegeven.
Deze posting is gelocked. Reageren is niet meer mogelijk.