Valve recompensa hacker com $20.000 por descobrir bug

#Notícia Publicado por el_asesino, em Tue, 13 Nov 2018 08:42:16 -0200 [Full].

IMAGEaHR0cHM6Ly9pbWcuaWJ4ay5jb20uYnIvMjAxOC8wOC8yMi8yMjE1MTAwMDI4ODE4My5qcGc=

A Valve recompensou um homem com U$ 20.000 depois que ele descobriu um bug que permitia que as pessoas gerassem milhares de códigos livres de uma só vez para qualquer jogo.

A falha foi erradicada pelo pesquisador de segurança Artem Moskowsky, que a reportou à Valve em 7 de agosto.

A Valve resolveu o problema há algumas semanas que desde então foi tornado público via [iurl=https://hackerone.com/reports/391217]HackerOne[/iurl].

Ao alterar um único parâmetro, qualquer pessoa com uma conta de desenvolvedor no portal poderia gerar milhares de chaves de ativação simultaneamente para qualquer outro jogo hospedado pelo Steam.

Falando com o [iurl=https://www.theregister.co.uk/2018/11/09/valve_steam_key_vulnerability/]The Register[/iurl], Moskowsky diz que encontrou o bug por acaso enquanto explorava a funcionalidade de um aplicativo da web.

"Para explorar a vulnerabilidade, foi necessário fazer apenas uma solicitação", disse ele. "Consegui contornar a verificação da propriedade do jogo, alterando apenas um parâmetro. Depois disso, eu poderia inserir qualquer ID em outro parâmetro e obter qualquer conjunto de chaves."

Ao testar a extensão da falha, Moskowsky inseriu uma série de números aleatórios como solicitação e recebeu 36.000 chaves para o jogo Portal 2.

Em vez de divulgar as informações, ele enviou um relatório à Valve e foi recompensado através do esquema de recompensas de erros da empresa.

Moskowsky recebeu US $ 15.000 e um bônus de US $ 5.000 por divulgar a questão em particular. Este não é o maior pagamento da Valve para Moskowsky; em julho, ele recebeu US $ 25.000 por descobrir um bug de injeção de SQL no mesmo portal.