Valve ha premiato un utente con 20 mila dollari per aver scoperto un bug che permetteva a chiunque di generare migliaia di codici gratuiti per qualsiasi videogioco.
A beccare il “trucchetto” non proprio un semplice utente, ma il “ricercatore di bug” professionista Artem Moskowsky, che lo ha segnalato privatamente a Valve lo scorso 7 agosto attraverso la piattaforma HackerOne. Valve successivamente ha risolto il problema, rendendolo però pubblico solo ora.
Come funzionava il bug? Modificando un singolo parametro, qualsiasi persona con un account sviluppatore su Steam era in grado di creare migliaia di chiavi di attivazione in contemporanea per qualsiasi gioco ospitato dalla piattaforma gaming di Valve.
Parlando con i colleghi di The Register, Moskowsky ha dichiarato di aver trovato il bug per caso mentre esplorava le funzionalità di un’applicazione web.
Per sfruttare la vulnerabilità, era necessario fare solo una richiesta – spiega Moskovsky – Sono riuscito a bypassare la verifica della proprietà del gioco cambiando un solo parametro, dopodiché sarei riuscito ad inserire qualsiasi ID in un altro parametro e ottenere qualsiasi serie di chiavi”.
Per fare un esempio pratico, Artem Moskowsky ha inserito una stringa di numeri casuali come richiesta e ha ricevuto in cambio 36000 chiavi per Portal 2.
A questo punto, capita l’entità del problema, Artem ha deciso di segnalare il problema a Valve. Un gesto che il colosso del PC gaming ha accolto molto positivamente, premiando l’utente con 15.000 dollari più un bonus di 5 mila dollari per non aver divulgato il problema.
Incredibile ma vero, i 20 mila dollari incassati per aver scovato il bug dei codici non è un record per Artem : lo scorso luglio ha infatti guadagnato ben 25 mila dollari per aver eliminato il bug di SQL Injection, sempre nel portale per sviluppatori di Steam.