Valve向發(fā)現(xiàn)Steam漏洞的黑客獎(jiǎng)勵(lì)2萬(wàn)美元

近日，Valve公司向發(fā)現(xiàn)Steam開發(fā)端重大漏洞的安全研究員Artem Moskowsky支付了一筆2萬(wàn)美元的獎(jiǎng)勵(lì)，被稱為Bug獵人的Artem Moskowsky發(fā)現(xiàn)Steam開發(fā)端存在“可創(chuàng)建無(wú)限個(gè)序列號(hào)免費(fèi)玩游戲”，如果漏洞被黑客利用，Valve將損失數(shù)以萬(wàn)計(jì)的游戲銷售。

Moskowsky向The Register透露，他意外地在Steam開發(fā)端發(fā)現(xiàn)了這一漏洞，開發(fā)端可允許游戲制作者管理其發(fā)布的游戲產(chǎn)品，其中有一個(gè)API允許開發(fā)者為自己發(fā)布的作品生成激活序列號(hào)，以提前向媒體和評(píng)測(cè)者提供游戲測(cè)試。

Moskowsky這個(gè)API中非常容易通過(guò)修改參數(shù)來(lái)請(qǐng)求其它任意的游戲作品，理論上可無(wú)視其版權(quán)擁有者，利用這個(gè)漏洞，只需要擁有一個(gè)開發(fā)者賬號(hào)就能夠?yàn)槿我釹team上的數(shù)字游戲生成序列號(hào)。

Moskowsky向Valve報(bào)告了這個(gè)Bug，為了演示這個(gè)bug，他成功讓Steam產(chǎn)生了3.6萬(wàn)個(gè)《傳送門2》的序列號(hào)，如果被濫用Valve就會(huì)立即損失36萬(wàn)美元的銷售額。

在過(guò)去三年中Moskowsky向Valve曝光了19個(gè)Bug，大部分的獎(jiǎng)勵(lì)金額在500-750美元之間，而去年7月，他在Steam上發(fā)現(xiàn)了SQL注入關(guān)鍵漏洞，他因此獲得了2.5萬(wàn)美元獎(jiǎng)勵(lì)。