【Steam】被駭客發現免費拿「任何遊戲序號」BUG,Valve打賞2萬美元 💰


如果同學發現有一種能夠獲得任何一款 Steam 遊戲 CD Key 的辦法(違法的那種),你會怎麼做?「BUG 獵人」Artem Moskowsky 就是在 Steam 的程式碼背後找到了這樣一個重大的 BUG。


根據 Valve 在 hackerone.com 登錄的事件紀錄,Moskowsky 在今年 8 月 7 日便向 Valve 回報這個 BUG,而 Valve 為了表達感謝,回以 15000 美元加 5000 美元的獎金,共 2 萬美元(約 61.7 萬新台幣)的報酬給 Moskowsky。

依照事件大綱記載,Moskowsky 是透過 Steam 開發者工具(Steam’s developer tools),在「/partnercdkeys/assignkeys/」端點去修改「特定參數」,讓使用者能無需通過認證獲得遊戲序號,更厲害的是,使用此 BUG 方法不會在審核日誌留下紀錄,官方無法透過審核日誌的調查找到之前未顯示的錯誤。
幸好,Valve 表示這個 BUG 並未被其他相關人士濫用,只不過 Moskowsky 透過外媒表示,當時自己有用這個 BUG 在《傳送門 2》(Protal 2)拿了 36,000 份遊戲序號,證實這個方法確實是 Valve 的漏洞。

這個事件其實很快就獲得解決,該漏洞也早已修正,只不過 Valve 不想讓消息在 10 月 31 日前就被公布,因此 Moskowsky 倒是守口如瓶。
雖說現今早已是重度網路世代,但外界依然普遍對駭客抱有不好的印象,只不過 Moskowsky 似乎有自己的原則在,換作是一般投機份子,眼前有個這麼大的誘惑卻不為所動,實在不大可能。

消息來源:Kotaku The Register