Steam: Trivialer Bug ermöglichte Download der Keys zu allen Spielen

Die Ehrlichkeit und Hilfsbereitschaft so mancher Sicherheitsforscher erspart vielen Unternehmen immer wieder große Peinlichkeiten. So fand und meldete der Ukrainer Artem Moskowsky einen Bug in den Systemen hinter der Gaming-Plattform Steam, die ihm Zugang zu den Aktivierungskeys aller Spiele bescherte. Ausnutzen ließ sich der Fehler über die Steamworks-Plattform, über die Entwickler Zugang zum Backend der Plattform erhalten. Hier gibt es auch eine Funktion, über die Publisher größere Mengen an Keys für ihre eigenen Titel abrufen können. Entwickler-Studios können ihre Titel so beispielsweise selbst vermarkten und den Kunden für den Download zu Steam verweisen und ihm einen Code übermitteln.

Das API, über das die Keys herausgegeben werden, liefert diese eigentlich nur dann, wenn der jeweilige Titel auch tatsächlich über den aktiven Account bereitgestellt wurde. Trägt man hier das Game eines anderen Anbieters ein, gibt es korrekterweise nur eine Fehlermeldung. Moskowsky fand allerdings heraus, dass dies nicht der Fall war, wenn man die Zahl der angeforderten Keys auf 0 setzte. Dann lieferte die Funktion anstandslos lauter funktionierende Codes.

Bug Bounty lohnt sich

Wie der Sicherheitsforscher gegenüber dem US-Magazin ZDNet ausführte, kam er so beispielsweise in den Besitz von 36.000 Keys für das spiel "Portal 2". Mit hinreichend krimineller Energie hätte er diese einfach einzeln verkaufen können. Schon im August meldete er seine Erkenntnisse hingegen an den Steam-Betreiber Valve, wo der Bug umgehend behoben wurde.

Öffentlich wurde die Sache erst jetzt, weil Valve einer Publikation des Vorfalls zu einem früheren Zeitpunkt nicht zustimmte. Wahrscheinlich wollte man abwarten und prüfen, ob jemand anderes auf die gleiche Idee gekommen war und sich nun an abgegriffenen Codes bereichert. Moskowsky bekam über das Bug Bounty-Programm hingegen 20.000 Dollar Belohnung zugesprochen. Zuvor hatte er für einen andern Fehler auch schon 25.000 Dollar von Valve erhalten, weitere mehr als 30.000 Dollar gab es in diesem Jahr auch schon von ViaBTC und Samsung, so dass die Suche nach Sicherheitslücken seinen Lebensunterhalt der letzten Monate gesichert haben dürfte.

Download Steam - Offizieller Android-Client Steam, Valve, Spieleplattform Steam, Valve, Spieleplattform Valve
Diese Nachricht empfehlen
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Kommentar abgeben Netiquette beachten!
Einloggen
Jetzt als Amazon Blitzangebot
Ab 08:04 Uhr Blackview BV7100 Outdoor Smartphone ohne Vertrag, 13000mAh Akku 33W Schnellladung, IP68/IP69K Robust Handy, Android 12 Helio G85 6 GB+128GB, 6,58 FHD+ Display, 12 MP Triple Kamera, GPS NFC GrünBlackview BV7100 Outdoor Smartphone ohne Vertrag, 13000mAh Akku 33W Schnellladung, IP68/IP69K Robust Handy, Android 12 Helio G85 6 GB+128GB, 6,58 FHD+ Display, 12 MP Triple Kamera, GPS NFC Grün
Original Amazon-Preis
249,99
Im Preisvergleich ab
?
Blitzangebot-Preis
220,99
Ersparnis zu Amazon 12% oder 29
Nur bei Amazon erhältlich
Amazon.de 220,99 €
Alle Amazon Blitzangebote
Neueste Downloads
Mehr Downloads
Video-Empfehlungen
Beliebt im Preisvergleich
Sicherheit & Backup Preisvergleich
Neue Nachrichten
Themen-Übersicht
Beliebte Nachrichten
Videos
  • Neueste
  • Beliebte
  • Empfehlung
Mehr Videos
Christian Kahle
Redakteur bei WinFuture
Ich empfehle ...
Christian Kahle
Folgt uns auf Twitter
WinFuture bei Twitter
Interessante Artikel & Testberichte
Tipp einsenden
Hinweise zum Einsenden von Tipps
❤ WinFuture unterstützen
Sie wollen online einkaufen? Dann nutzen Sie bitte einen der folgenden Links, um WinFuture zu unterstützen: Vielen Dank!