Баг Steam позволял получить ключи активации от любой игры

Баг Steam позволял получить ключи активации от любой игры

Баг Steam позволял получить ключи активации от любой игры

Украинский исследователь в области безопасности нашел интересный баг в сервисе Steam, который позволил ему загрузить все ключи активации (также — CD-ключи). Брешь затрагивает платформу Steamworks, которую Valve запустила для помощи разработчикам в публикации игр.

Проблему обнаружил Артем Московский, она присутствует в API Steam, находящемся по адресу:

partner.steamgames.com/partnercdkeys/assignkeys/

Этот API позволяет разработчикам предоставлять CD-ключи пользователям, которые смогут активировать игру, установленную с помощью клиента Steam.

Доступ к API можно получить, используя обычный аккаунт Steam, потребуется всего лишь несколько параметров: appid (представляет идентификатор игры), keyid (идентификатор набора ключей) и keycount (представляет количество ключей).

Московский утверждает, что при обычных обстоятельствах, если вы пытаетесь получить ключи для игр, которыми не владеете, API выдаст вам ошибку. Именно это и должно происходить, по идее, исходя из соображений безопасности.

Однако специалист смог обойти эти ограничения, просто установив значение keycount на «0». Таким образом эксперту удалось получить файл с наборами ключей, предназначенных для любой игры. И это даже при условии, что у пользователя не должно быть доступа к такому набору данных.

Московский сообщил о проблеме Valve в августе, и только сейчас ему разрешили раскрыть детали. Уязвимость в настоящее время устранена.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

«Эшелон» открыла онлайн-ресурс с базой уязвимостей Сканер-ВС 6/7

Разработчик средств информационной безопасности «Эшелон» запустил новый открытый ресурс — базу данных уязвимостей, которая используется в продуктах Сканер-ВС 6 и 7. На сайте собраны сведения более чем о 427 тысячах уязвимостей, база обновляется ежедневно.

Портал доступен по адресу https://vulnerabilities.etecs.ru.

Пользователи могут искать и просматривать уязвимости по идентификаторам CVE, BDU и другим стандартам.

Карточки содержат информацию о метриках CVSS и EPSS, типах дефектов по CWE, конфигурациях CPE 4.0, наличии эксплойтов и актуальных правилах детектирования. Также доступны ссылки на первоисточники и бюллетени безопасности. А настоящий момент база насчитывает более 427 тысяч записей об уязвимостях.

Сервис рассчитан на специалистов по информационной безопасности, которым важно иметь быстрый доступ к актуальной и проверенной информации об уязвимостях в используемом ПО — в том числе в российских операционных системах.

Появление открытого портала позволяет специалистам напрямую видеть, на каких данных работает Сканер-ВС, проверять актуальность информации и оценивать качество правил детектирования под разные конфигурации.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru