Informacja o luce została ujawniona przez Valve dopiero teraz.  Artem Moskowsky postąpił bowiem zgodnie z zasadami etyki obowiązującej w środowisku zajmującym się bezpieczeństwem sieciowym i dał czas firmie Valve na załatanie luki, przed upublicznieniem informacji na jej temat.

Moskowsky znalazł błąd przez przypadek, w trakcie analizowania interfejsu programistycznego (API) Steama, umożliwiającego deweloperom i resellerom zarządzanie kluczami licencyjnymi gier sprzedawanych za pośrednictwem platformy.

Odkrywca luki zorientował się, że wystarczy niewielka zmiana w składni zapytania wysyłanego do API, aby otrzymać odpowiedź zawierającą chronione licencją klucze aktywacyjne gier komputerowych.

W celu uzyskania nieautoryzowanego dostępu do kluczy licencyjnych, należało złożyć wniosek o utworzenie na Steamie konta deweloperskiego, co może zrobić praktycznie każdy. W celu kradzieży kluczy wystarczyło w udokumentowanym żądaniu do API zmienić jeden parametr, by oszukać mechanizm weryfikujący czy zapytanie pochodzi od właściciela konta. Następnie w zapytaniu o udostępnienie kluczy trzeba było podmienić własne ID na ID innego dewelopera.

Według Moskowskyiego, z pomocą opisanej metody udało mu się uzyskać dostęp do 36 tys. kluczy licencyjnych gry Portal 2, stworzonej przez Valve – właściciela platformy. Przy cenie 9,99 dol. za grę, potencjalny zysk z nielegalnej sprzedaży wykradzionych kluczy mógł wynieść 359 640 dol.

Błąd został zgłoszony za pośrednictwem hackerone.com. Jest to usługa do wskazywania problemów w zabezpieczeniach, pośrednicząca pomiędzy analitykami bezpieczeństwa sieciowego a deweloperami, którzy otrzymują czas na łatanie luk przed ich publicznym ujawnieniem.

Valve przyznał Moskowskyemu nagrodę w wysokości 15 tys. dol. oraz dodatkową premię wynoszącą 5 tys. dol. Przeglądając rejestry hackerone.com można znaleźć inne zgłoszenie Moskowskyego, za które otrzymał wynagrodzenie w wysokości 25 tys. dol, również od Valve - wygląda na to, że etyczne hakowanie to całkiem intratne zajęcie.

Źródło: Bitdefender