网友发现Steam免费游戏漏洞 获得Valve两万美金报酬
2023-06-08 08:16:17
大中小
国外一名自称「Bug 猎人」的网友 Artem Moskowsky 发现了 Steam 平台上的漏洞,透过这个漏洞,任何人都可以生成大量 Steam 上任意游戏的下载码。他表示部分人士可能早就发现了这个漏洞,但是没有将其公开。
Moskowsky 在今年 8 月时发现了这个漏洞并且向官方回报,但是 Valve 直到最近才同意公开此事件。作为「失去获得免费游戏机会」的补偿,Valve 提供了他美金 20000 元的报酬。
根据 Valve 的 Bug 悬赏网站 HackerOne 上的说明,这个漏洞的起因是对 Steam 开发者工具的不当利用。在使用特定的参数后,每个人都能够操作这些工具,并且生成不属于他们的游戏下载码。
Valve 表示在调查以后,并没有证据显示有人曾利用这项漏洞。这对于 Valve 来说确实是好消息,因为 Moskowsky 曾在另一个网站提到,他甚至可以利用这个漏洞欺骗系统,得到 36000 组《传送门 2(Portal 2)》的下载码。
根据 Steam 对于此事件的纪录时间、二手交易网站和非法游戏下载码诈骗等等,事实上已经能推测有不少人利用了此漏洞。而现在成为 Steam 开发者也并非难事,意味着获取开发者工具也是相同状况,很难确定在这项漏洞被修正前已经产生了多少问题。
从 Moskowsky 的行为看来,他的动机也非常单纯,这点从过去几个月他持续贴出各项漏洞就能看出。在今年 7 月时,他也曾经因为发现另一个漏洞而获得 25000 美金(约 750000 台币)的奖励。