ข้อผิดพลาดในแพลตฟอร์มของ Steam แสดงให้เห็นคีย์ลิขสิทธิ์แท้ สำหรับเกมที่มีให้บริการบน Steam ทุกเกม

ข้อผิดพลาดในแพลตฟอร์มของ Steam แสดงให้เห็นคีย์ลิขสิทธิ์แท้ สำหรับเกมที่มีให้บริการบน Steam ทุกเกม
A screenshot from the popular video game Portal, developed by Valve (creators of Steam platform)

กลุ่ม avid bug hunter ได้ค้นพบช่องโหว่บนช่องทางของนักพัฒนาบนแพลตฟอร์มที่มีชื่อเสียงอย่าง Steam ซึ่งเป็นเจ้าของโดยบริษัท Valve โดยพบว่าช่องโหว่ดังกล่าวได้ใช้ประโยชน์โดยการเปิดเผยคีย์ และใบอนุญาตของทุกเกมที่มีอยู่บนแพลตฟอร์ม โดยแทนที่เขาจะขายคีย์ เพื่อทำกำไรให้ตัวเองอย่างผิดกฎหมาย แต่เขาเลือกที่จะรายงานช่องโหว่นี้กลับไปที่ Valve

นาย Artem Moskowsky ได้ค้นพบข้อผิดพลาดนี้ ในเดือนสิงหาคม แต่ Valve ได้ตีพิมพ์ข่าวเมื่อไม่นานมานี้ โดยใช้เวลาอย่างเพียงพอในการแก้ไขข้อบกพร่อง และทำการตรวจสอบให้แน่ใจว่าช่องโหว่นี้จะไม่สามารถใช้งานได้อีกครั้ง

Moskowsky รายงานพบว่ามีข้อผิดพลาดเกิดขึ้นโดยบังเอิญ ขณะเลื่อนไปยังไซต์สำหรับนักพัฒนาซอฟต์แวร์ของ Valve ซึ่งผู้ขายสามารถจัดการชื่อของพวกเขาได้

สำนักข่าว The Register ได้รายงานผลจากนักวิจัยดังกล่าวว่า "สังเกตได้ค่อนข้างง่าย ต่อการเปลี่ยนแปลงพารามิเตอร์ในการร้องขอของ API และได้รับคีย์ในการเปิดใช้งานสำหรับเลือกเกมกลับขึ้น คีย์เหล่านั้น เรียกว่า ซีดีคีย์ สามารถใช้เพื่อเปิดใช้งาน และเล่นเกมที่ดาวน์โหลดได้จาก Steam โดยที่ API นี้มีไว้เพื่อให้นักพัฒนาซอฟต์แวร์ และพาร์ทเนอร์ของพวกเขา สามารถขอรับคีย์ต่างๆ สำหรับชื่อของพวกเขาเพื่อส่งผ่านไปยังผู้เล่นเกมได้ "

"ข้อผิดพลาดนี้ถูกค้นพบแบบสุ่ม ในระหว่างการสำรวจความสามารถในการทำงานของแอปพลิเคชันบนเว็บ มันอาจถูกใช้โดยผู้บุกรุกที่เข้าถึงพอร์ทัลได้ " Moskowsky กล่าวกับเว็บไซต์ข่าว

"การใช้ช่องโหว่นี้จำเป็นต้องมีการร้องขอเพียงอย่างเดียว" เขากล่าวเสริม "ผมสามารถหลีกเลี่ยงการยืนยันความเป็นเจ้าของเกมได้ โดยการเปลี่ยนพารามิเตอร์เพียงอย่างเดียว หลังจากนั้นผมสามารถใส่รหัสใดๆ ลงในพารามิเตอร์อื่น และรับชุดคีย์ดังกล่าวได้ "

ในอีกกรณีหนึ่ง Moskowsky ได้กล่าวว่า เขาได้รับคีย์ใบอนุญาต 36,000 ใบ สำหรับเกม Portal 2 ที่ค่อนข้างเก่า (แต่ยังคงมีความเกี่ยวข้องกับกรณีดังกล่าว) ซึ่งพัฒนาขึ้นโดย Valve เอง ราคาของเกมนี้ขายปลีกอยู่ที่ $ 9.99 ซึ่ง (ในทางทฤษฎี) นั่นหมายความว่าจะมีมูลค่าประมาณ $ 359,640 ในรายได้ที่สูญเสียไป สำหรับนักพัฒนา ถ้าหากคีย์ได้หลุดออกไป และถูกขายไปในตลาดมืด

นักวิจัยได้รายงานข้อบกพร่องนี้ ผ่านทาง HackerOne โปรแกรมข้อบกพร่องของบั๊กที่เชื่อมโยงธุรกิจ กับนักวิจัยด้านความปลอดภัยในโลกไซเบอร์ ในการค้นหา และแก้ไขข้อบกพร่อง ก่อนที่แฮกเกอร์ผิดจรรยาบรรณจะเอาข้อมูลไปได้

Valve ได้มอบรางวัลให้กับ Moskowsky มูลค่า 15,000 เหรียญ บวกกับเงินรางวัลเพิ่มอีก 5,000 เหรียญ เนื่องจากบริษัทรู้สึกว่าเขาสมควรได้รับโบนัสพิเศษสำหรับการค้นพบนี้ สำนักข่าว The Register ได้รายงานว่าก่อนหน้านี้ Moskowsky ก็ได้รับรางวัล ซึ่งมีมูลค่า 25,000 เหรียญ สำหรับการค้นหาช่องโหว่ในแพลตฟอร์มเดียวกัน ดูเหมือนว่าการเป็นค่าตอบแทนในการจ่ายที่คุ้มค่ากับจริยธรรมนั่นเอง

Post Releases