Un bug-hunter ha ricevuto una ricompensa da 20 mila dollari per aver individuato una vulnerabilità su Steam

Artem Moskowsky è un ricercatore e bug-hunter. Ha dichiarato a The Register di essersi imbattuto in una vulnerabilità mentre esaminava il portale dei partner di Steam, ovvero il sito utilizzato dagli sviluppatori per gestire i giochi e renderli disponibili al download tramite Steam. Moskowsky ha ricevuto una ricompensa da 20 mila dollari per avere individuato la vulnerabilità.

Si tratta di un programmatore ed esperto di sicurezza fin dall'adolescenza. Lui sostiene di aver iniziato a fare ricerche sulla sicurezza dai tempi della scuola e oggi ha fatto diventare questa propensione un vero e proprio lavoro. In questo caso, guardando attraverso il sito degli sviluppatori di Steam, ha notato che è abbastanza facile cambiare i parametri in una richiesta API e ottenere in cambio le chiavi di attivazione per un certo gioco. Si parla dell'API che gli sviluppatori di videogiochi usano per generare le chiavi da trasmettere agli influencer o a chi è nella posizione di dare visibilità al gioco.

"Ho scoperto il bug in maniera casuale mentre esploravo delle funzionalità di un'applicazione web", ha detto Moskowsky. "Qualsiasi utente malintenzionato se ne sarebbe potuto accorgere prima di me e trafugare molte chiavi".

Chiunque in possesso di un account per accedere al portale degli sviluppatori di Steam avrebbe potuto sfruttare la vulnerabilità per ottenere quante chiavi avrebbe voluto di qualsiasi gioco presente nel catalogo. Sappiamo che il commercio di chiavi di Steam assume connotati sempre più ampi, sfruttando spesso delle zone d'ombra nel funzionamento di Steam.

"Bastava solo una richiesta per sfruttare la vulnerabilità", ha detto il bug-hunter. "Ho bypassato la verifica sulla proprietà del gioco cambiando un solo parametro. A quel punto avrei potuto ottenere le chiavi di qualsiasi gioco".

Moskowski sostiene di aver inserito una stringa casuale all'interno del sistema di richiesta delle chiavi ottenendo 36 mila chiavi di attivazione di Portal 2, un gioco che su Steam va acquistato a circa 8 Euro. Il programmatore fortunatamente ha deciso di rivolgersi a Valve privatamente tramite HackerOne, consentendo a quest'ultima di risolvere l'errore di programmazione.

I fatti risalgono all'estate: nello scorso agosto, a tre giorni dalla segnalazione, Valve ha inviato a Moskowski una prima ricompensa da 15 mila dollari, mentre altri 5 mila dollari sono arrivati nei giorni seguenti. La software house americana ha reso pubblico quanto era successo solo negli ultimi giorni.

Moskowski ha detto a The Register di essere soddisfatto del trattamento ricevuto da Valve, e che la compagnia paga bene per le segnalazioni sulle vulnerabilità come questa. Anche perché non stiamo parlando della ricompensa migliore che ha ricevuto da Valve, visto che a luglio aveva ottenuto altri 25 mila dollari per aver aiutato ad eliminare un bug di tipo SQL Injection all'interno dello stesso portale per gli sviluppatori.