Sicherheitslücke bei Steam geschlossen - Keys für jedes Spiel konnten erzeugt werden

Der Sicherheitsexperte Artem Morkowsky hat einen Fehler bei Steam entdeckt, der es erlaubte, Keys für jedes dort veröffentlichte Spiel zu stehlen.

von Georg Wieselsberger,
09.11.2018 07:59 Uhr

Steam hatte eine Sicherheitslücke, welche die Aktivierungs-Keys aller Spiele im Steam-Store betraf.Steam hatte eine Sicherheitslücke, welche die Aktivierungs-Keys aller Spiele im Steam-Store betraf.

Steam bietet für Entwickler viele Möglichkeiten und Schnittstellen, die das Veröffentlichen der eigenen Titel auf der Plattform von Valve erleichtern. Im vergangenen Sommer entdeckte der Sicherheitsforscher Artem Morkowsky in einer der Programmierschnittstellen (API) von Steam einen Fehler, der es erlaubte, Aktivierungsschlüssel für jedes Spiel zu erstellen, das bei Steam angeboten wird.

Eigentlich ist diese Schnittstelle nur dazu gedacht, Spielern das Aktivieren von Schlüsseln zu erlauben, die von den Entwicklern stammen. Beliebige Schlüssel werden also nicht anerkannt. Doch Morkowsky entdeckte, dass die API mit verschiedenen Parametern so verwendet werden kann, dass man Zugriff auf beliebige Schlüssel erhält, auch auf solche, für die man das passende Spiel gar nicht besitzt.

Die besten Selbstbau-PCs ab 500 Euro

Zunächst war es ihm gelungen, gleich 36.000 gültige Schlüssel für den Valve-Titel Portal 2 zu generieren und herunterzuladen. Danach entdeckte er aber, dass auch andere Titel betroffen sind, wenn man nur die richtigen Parameter mit der Schnittstelle verwendet. Wie lange dieser Fehler unentdeckt in Steam steckte und ob er vielleicht von anderer Seite ausgenutzt wurde, ist nicht bekannt. Morkowsky meldete das Problem jedenfalls schon im August 2018 an Valve und erhielt dafür auch eine Belohnung von 20.000 US-Dollar.

Die Entwickler bei Valve hatten die Sicherheitslücke dann auch sehr schnell geschlossen, doch erst jetzt erhielt Morkowsky die Erlaubnis, das Problem öffentlich zu beschreiben. Wie ZDNet meldet, war der Fehler laut Morkowsky nicht schwer zu entdecken, aber auch nicht offensichtlich, wenn man nur einen oberflächlichen Blick darauf warf. Der Experte hatte schon einmal 25.000 US-Dollar von Valve für die Meldung eines anderen Fehlers erhalten.

Der Aufstieg von Valve - Teil 1: Mit der Brechstange

Open World in Spielen - 3D-Grafik im Wandel der Zeit 11:40 Open World in Spielen - 3D-Grafik im Wandel der Zeit


Kommentare(42)

Nur angemeldete Benutzer können kommentieren und bewerten.

Cookies optimieren die Bereitstellung unserer Dienste. Mit der Nutzung unserer Dienste erklären Sie sich damit einverstanden, dass wir Cookies verwenden. Weitere Informationen oder schließen