En sikkerhedsforsker har fundet et hul i spilplatform Steam, der har gjort det muligt at høste licens-nøgler, som gør det muligt at spille diverse titler uden at betale for dem. Det oplyser The Register, der har talt med sikkerhedsforskeren, han hedder Artem Moskowsky.
Han fandt hullet, da han kiggede på Steams-udviklersite. Her opdagede sikkerhedsforskeren, at det var relativt let at ændre i parametrene til API-forespørgsler og få licensnøgler returneret. Nøglerne gør det muligt at aktivere og spille spil. API'et er tænkt til, at partnere og udviklere kan trække licensnøgler ud til egne titler, som så kan videregives til spillere efter forgodtbefindende.
»Det lykkedes mig at omgå spillets ejerskabs-verifikation alene ved at ændre en parameter. Bagefter kunne jeg indtaste et vilkårligt ID i en anden parameter og få et vilkårligt set nøgler,« siger Moskowsky til The Register.
Sikkerhedsforskeren oplyser til The Register, at han eksempelvis fik 36.000 aktiveringsnøgler til spillet Portal 2 returneret fra API'et som følge af sikkerhedshullet.
Valve, der står bag Steam (og Portal 2), har belønnet Artem Moskowsky med 20.000 dollars (ca. 132.000 kroner) for at finde og rapportere hullet. Det fremgår af en entry på bugbounty-portalen HackerOne, som Moskowsky har anvendt til rapporteringen af sikkerhedshullet.