Steam: Trivialer Bug ermöglichte Download der Keys zu allen Spielen

Steam, Valve, Spieleplattform Bildquelle: Valve
Die Ehrlichkeit und Hilfsbereitschaft so mancher Sicherheitsforscher erspart vielen Unternehmen immer wieder große Peinlichkeiten. So fand und meldete der Ukrainer Artem Moskowsky einen Bug in den Systemen hinter der Gaming-Plattform Steam, die ihm Zugang zu den Aktivierungskeys aller Spiele bescherte. Ausnutzen ließ sich der Fehler über die Steamworks-Plattform, über die Entwickler Zugang zum Backend der Plattform erhalten. Hier gibt es auch eine Funktion, über die Publisher größere Mengen an Keys für ihre eigenen Titel abrufen können. Entwickler-Studios können ihre Titel so beispielsweise selbst vermarkten und den Kunden für den Download zu Steam verweisen und ihm einen Code übermitteln.

Das API, über das die Keys herausgegeben werden, liefert diese eigentlich nur dann, wenn der jeweilige Titel auch tatsächlich über den aktiven Account bereitgestellt wurde. Trägt man hier das Game eines anderen Anbieters ein, gibt es korrekterweise nur eine Fehlermeldung. Moskowsky fand allerdings heraus, dass dies nicht der Fall war, wenn man die Zahl der angeforderten Keys auf 0 setzte. Dann lieferte die Funktion anstandslos lauter funktionierende Codes.

Bug Bounty lohnt sich

Wie der Sicherheitsforscher gegenüber dem US-Magazin ZDNet ausführte, kam er so beispielsweise in den Besitz von 36.000 Keys für das spiel "Portal 2". Mit hinreichend krimineller Energie hätte er diese einfach einzeln verkaufen können. Schon im August meldete er seine Erkenntnisse hingegen an den Steam-Betreiber Valve, wo der Bug umgehend behoben wurde.

Öffentlich wurde die Sache erst jetzt, weil Valve einer Publikation des Vorfalls zu einem früheren Zeitpunkt nicht zustimmte. Wahrscheinlich wollte man abwarten und prüfen, ob jemand anderes auf die gleiche Idee gekommen war und sich nun an abgegriffenen Codes bereichert. Moskowsky bekam über das Bug Bounty-Programm hingegen 20.000 Dollar Belohnung zugesprochen. Zuvor hatte er für einen andern Fehler auch schon 25.000 Dollar von Valve erhalten, weitere mehr als 30.000 Dollar gab es in diesem Jahr auch schon von ViaBTC und Samsung, so dass die Suche nach Sicherheitslücken seinen Lebensunterhalt der letzten Monate gesichert haben dürfte.

Download Steam - Offizieller Android-Client Steam, Valve, Spieleplattform Steam, Valve, Spieleplattform Valve
Diese Nachricht empfehlen
Kommentieren26
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Kommentar abgeben Netiquette beachten!
Einloggen

Jetzt als Amazon Blitzangebot

Ab 16:35 Uhr RGB LED Gaming Tastatur, 19 Tasten Anti-Ghosting, verstellbare Hintergrundbeleuchtung, mechanisches Gefühl, wasserressiste Gaming-Tastatur mit Handballenauflage, DE LayoutRGB LED Gaming Tastatur, 19 Tasten Anti-Ghosting, verstellbare Hintergrundbeleuchtung, mechanisches Gefühl, wasserressiste Gaming-Tastatur mit Handballenauflage, DE Layout
Original Amazon-Preis
31,99
Im Preisvergleich ab
31,99
Blitzangebot-Preis
25,59
Ersparnis zu Amazon 20% oder 6,40
Im WinFuture Preisvergleich

Video-Empfehlungen

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte

WinFuture wird gehostet von Artfiles

Tipp einsenden