Steam-Bug erlaubte Zugriff auf unendliche Keys für sämtliche Spiele

    10. November 2018, 10:22
    50 Postings

    Sicherheitsforscher entdecke Lücke und meldete sie bei Valve – erhielt dafür 20.000 US-Dollar Belohnung

    Steam gilt mittlerweile als die größte und wichtigste Vertriebsplattform für PC-Games. Ein ukrainischer Sicherheitsforscher hat nun einen verheerenden Bug entdeckt, der es Hackern erlaubt hätte, Zugriff auf alle Keys für sämtliche Spiele auf der Plattform des Unternehmens Valve zu erhalten. Wie die Tech-Plattform "ZDNet" berichtet, können Anbieter jederzeit Keys für ihre eigenen Spiele generieren – etwa, um sie separat weiterzuverkaufen oder zu Marketingzwecken zu verschenken.

    Zahl auf Null ändern reichte aus

    Das sollte eigentlich nur möglich sein, wenn einem das Spiel auch gehört. Gibt man bei der App-ID eine solche für ein Game an, welches man nicht besitzt, sollte eigentlich eine Fehlermeldung angezeigt werden. Doch wie der Forscher herausfinden konnte, reichte es, bei dem Parameter für die Anzahl der Keys, die man erhalten möchte, eine Null anzugeben. Dann ist es plötzlich möglich, auf eine Vielzahl an Schlüssel für Spiele zuzugreifen.

    Verheerenden Diebstahl verhindert

    Hacker hätten sich das zunutze machen können, indem sie massenhaft Keys stehlen und diese bei Key-Resellern weiterverkaufen. Wie der Sicherheitsforscher erklärt, seien die AppID und KeyID (die eine Gruppe an Schlüsseln identifiziert) leicht zu erraten – somit sei ein Zugriff auf den gesamten Katalog des Herstellers, der Millionen Spiele enthält, möglich gewesen. Bei einem Test konnte der Forscher 36.000 CD-Keys von Valves eigenem Spiel Portal 2 generieren lassen.

    20.000 Dollar Belohnung

    Der Sicherheitsforscher alarmierte Valve bereits im August, wenige Tage später war die Lücke geschlossen. Er bekam als Belohnung 20.000 US-Dollar. Zuvor hatte ihm die Plattform nicht erlaubt, den Bug publik zu machen, weswegen er erst nun davon berichtet. Einen Monat vor der Entdeckung des Key-Bugs hatte er eine Sicherheitslücke bei der SQL-Datenbank von Steam entdeckt – und dafür eine Belohnung von 25.000 Dollar kassiert. Im heurigen Jahr fand er zudem auch eine Lücke bei Samsung, die ihm 13.300 Dollar bescherte. (red, 10.11.2018)

    Link

    ZDNet

    • Der Forscher testete seinen Fund bei dem Spiel "Portal 2" aus – und konnte über 30.000 Keys generieren.
      foto: valve

      Der Forscher testete seinen Fund bei dem Spiel "Portal 2" aus – und konnte über 30.000 Keys generieren.

    Share if you care.