Luka została odkryta i zgłoszona w sierpniu tego roku firmie Valve, właścicielowi Steam – platformy do dystrybucji cyfrowej gier – przez analityka bezpieczeństwa sieciowego Artema Moskowskyego. Błąd pozwalał na nieautoryzowany dostęp do wszystkich kluczy licencyjnych, z pomocą których można aktywować pobrane gry komputerowe. Informacja o luce została ujawniona przez Valve dopiero teraz.
Artem Moskowsky postąpił bowiem zgodnie z zasadami etyki obowiązującej w środowisku zajmującym się bezpieczeństwem sieciowym i dał czas firmie Valve na załatanie luki, przed upublicznieniem informacji na jej temat.
Moskowsky znalazł błąd przez przypadek, w trakcie analizowania interfejsu programistycznego (API) Steama, umożliwiającego deweloperom i resellerom zarządzanie kluczami licencyjnymi gier sprzedawanych za pośrednictwem platformy.
Odkrywca luki zorientował się, że wystarczy niewielka zmiana w składni zapytania wysyłanego do API, aby otrzymać odpowiedź zawierającą chronione licencją klucze aktywacyjne gier komputerowych.
W celu uzyskania nieautoryzowanego dostępu do kluczy licencyjnych, należało złożyć wniosek o stworzenie na Steamie konta deweloperskiego, co może zrobić praktycznie każdy. W celu kradzieży kluczy wystarczyło w udokumentowanym żądaniu do API zmienić jeden parametr, by oszukać mechanizm weryfikujący czy zapytanie pochodzi od właściciela konta. Następnie w zapytaniu o udostępnienie kluczy trzeba było podmienić własne ID na ID innego dewelopera.
Według Moskowskyiego, z pomocą opisanej metody udało mu się uzyskać dostęp do 36 tys. kluczy licencyjnych gry Portal 2, stworzonej przez Valve – właściciela platformy. Przy cenie 9,99 USD za grę, potencjalny zysk z nielegalnej sprzedaży wykradzionych kluczy mógł wynieść 359 640 USD.
Błąd został zgłoszony za pośrednictwem hackerone.com. Jest to usługa do wskazywania problemów w zabezpieczeniach, pośrednicząca pomiędzy analitykami bezpieczeństwa sieciowego a deweloperami, którzy otrzymują czas na załatanie luk przed ich publicznym ujawnieniem.
Valve przyznał Moskowskyemu nagrodę w wysokości 15 tys. USD oraz dodatkową premię wynoszącą 5 tys. USD. Przeglądając rejestry hackerone.com można znaleźć inne zgłoszenie Moskowskyego, za które otrzymał wynagrodzenie w wysokości 25 tys. USD, również od Valve. Wygląda na to, że etyczne hakowanie to całkiem intratne zajęcie.
– Wielokrotnie zdarzało się, że sami hakerzy pokazywali gdzie tkwi luka w zabezpieczeniach. Popularne serwisy, które przetwarzają poufne dane powinny z pewnością zainwestować w niezawodne zabezpieczenia. Warto też pamiętać, że jest coraz więcej nowych zagrożeń w Internecie, przez co raz zainstalowany program powinien być aktualizowany pod ich kątem- komentuje Dariusz Woźniak, inżynier techniczny Bitdefender z firmy Marken.