Ecco come un hacker ha inserito un gioco nel catalogo di Steam senza autorizzazione

Ecco come un hacker ha inserito un gioco nel catalogo di Steam senza autorizzazione

Uno sviluppatore ventenne è riuscito a sfruttare un exploit di Steam per inserire nel catalogo un gioco in realtà non esistente.

di pubblicata il , alle 11:41 nel canale Videogames
Steam
 

Navigando il catalogo di Steam nel fine settimana sarebbe stato possibile imbattersi in Watch paint dry. In realtà a questo nome non corrisponde alcun gioco, visto che la product page in questione è stata inserita da un hacker di meno di 20 anni che è riuscito a sfruttare un exploit di Steam adesso patchato.

Watch paint dry

Ruby, che è il nickname con il quale l'hacker si fa individuare sulla rete, ha spiegato come è riuscito nella suo intento con un post su Medium. L'exploit non era disponibile a tutti gli utenti di Steam, ma solo a quelli registrati allo Steamworks Developer Program.

Ruby è andato alla ricerca di punti deboli all'interno dell'HTML del backend di Steamworks. Ha forzato il valore associato a un "editor ID" a "1", ipotizzando che tale variabile corrispondesse a un impiegato di Valve. In questo modo Ruby ha avuto accesso a un form in cui ha potuto inserire il valore "approvato" per il suo gioco per quanto riguarda il supporto al sistema di carte collezionabili di Steam. Evidentemente se un gioco è approvato per il sistema di carte collezionabili per Steam è anche già stato rilasciato.

Questa falla di sicurezza ha permesso a Ruby di di far accettare Watch paint dry come videogioco regolare senza ottenere un'espressa autorizzazione da Valve. Naturalmente non è la prima volta che Steam viene attaccato dagli hacker: come altri servizi di gioco similari, infatti, si conferma vittima preferenziale per i criminali informatici. I recenti attacchi di tipo DDoS sono solamente uno degli esempi in tal senso, mentre la compagnia di sicurezza informatica Revuln aveva in passato svolto uno studio molto dettagliato.

14 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
fraussantin31 Marzo 2016, 14:07 #1
sarebbe interessante capire se potrebbero riuscire a caricare anche i file.

magari con virus abbinato.
19giorgio8731 Marzo 2016, 14:20 #2
se POTREBBERO.....mi sa che il virus ce l'hai tu
fraussantin31 Marzo 2016, 15:41 #4
Originariamente inviato da: 19giorgio87
se POTREBBERO.....mi sa che il virus ce l'hai tu
http://m.huffpost.com/it/entry/9580328?ref=fbpr
alemar7831 Marzo 2016, 16:05 #5
Originariamente inviato da: 19giorgio87
se POTREBBERO.....mi sa che il virus ce l'hai tu


L'espressione di fraussantin è corretta invece...
Epoc_MDM31 Marzo 2016, 16:30 #6
Originariamente inviato da: 19giorgio87
se POTREBBERO.....mi sa che il virus ce l'hai tu


Vorrei capire se saresti in grado di farlo.

E' sbagliata detta così?
ziobepi31 Marzo 2016, 17:16 #7
A proposito di hackers and crackers....

Come avevo detto da subito,
nessuno ha ancora crakkato Denuvo.
Tutte palle

Rise of Tomb Raider, Just Cause 3 e Far Cry Primal resistono alla grande.
adapter31 Marzo 2016, 17:31 #8
Originariamente inviato da: fraussantin


Quoto il tuo link perché in giro per il forum ci sono un paio di ragazzini che si divertono a cercare la pagliuzza degli altri senza preoccuparsi dei tronchi che hanno tra i piedi...
fraussantin31 Marzo 2016, 18:30 #9
Originariamente inviato da: adapter
Quoto il tuo link perché in giro per il forum ci sono un paio di ragazzini che si divertono a cercare la pagliuzza degli altri senza preoccuparsi dei tronchi che hanno tra i piedi...


A me stanno sul caxxo proprio.

Perche se sbaglio mi puoi anche prendere in giro e ci rido pure io . Ma le rispostine secche a saputello ( che poi sta volta manco lo era )....... Proprio non le reggo
Zenida31 Marzo 2016, 22:34 #10
un exploit abbastanza grossolano devo dire O.O

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^