Steam bietet für Entwickler viele Möglichkeiten und Schnittstellen, die das Veröffentlichen der eigenen Titel auf der Plattform von Valve erleichtern. Im vergangenen Sommer entdeckte der Sicherheitsforscher Artem Morkowsky in einer der Programmierschnittstellen (API) von Steam einen Fehler, der es erlaubte, Aktivierungsschlüssel für jedes Spiel zu erstellen, das bei Steam angeboten wird.
Eigentlich ist diese Schnittstelle nur dazu gedacht, Spielern das Aktivieren von Schlüsseln zu erlauben, die von den Entwicklern stammen. Beliebige Schlüssel werden also nicht anerkannt. Doch Morkowsky entdeckte, dass die API mit verschiedenen Parametern so verwendet werden kann, dass man Zugriff auf beliebige Schlüssel erhält, auch auf solche, für die man das passende Spiel gar nicht besitzt.
Die besten Selbstbau-PCs ab 500 Euro
Zunächst war es ihm gelungen, gleich 36.000 gültige Schlüssel für den Valve-Titel Portal 2 zu generieren und herunterzuladen. Danach entdeckte er aber, dass auch andere Titel betroffen sind, wenn man nur die richtigen Parameter mit der Schnittstelle verwendet. Wie lange dieser Fehler unentdeckt in Steam steckte und ob er vielleicht von anderer Seite ausgenutzt wurde, ist nicht bekannt. Morkowsky meldete das Problem jedenfalls schon im August 2018 an Valve und erhielt dafür auch eine Belohnung von 20.000 US-Dollar.
Die Entwickler bei Valve hatten die Sicherheitslücke dann auch sehr schnell geschlossen, doch erst jetzt erhielt Morkowsky die Erlaubnis, das Problem öffentlich zu beschreiben. Wie ZDNet meldet, war der Fehler laut Morkowsky nicht schwer zu entdecken, aber auch nicht offensichtlich, wenn man nur einen oberflächlichen Blick darauf warf. Der Experte hatte schon einmal 25.000 US-Dollar von Valve für die Meldung eines anderen Fehlers erhalten.
Nur angemeldete Benutzer können kommentieren und bewerten.
Dein Kommentar wurde nicht gespeichert. Dies kann folgende Ursachen haben:
1. Der Kommentar ist länger als 4000 Zeichen.
2. Du hast versucht, einen Kommentar innerhalb der 10-Sekunden-Schreibsperre zu senden.
3. Dein Kommentar wurde als Spam identifiziert. Bitte beachte unsere Richtlinien zum Erstellen von Kommentaren.
4. Du verfügst nicht über die nötigen Schreibrechte bzw. wurdest gebannt.
Bei Fragen oder Problemen nutze bitte das Kontakt-Formular.
Nur angemeldete Benutzer können kommentieren und bewerten.
Nur angemeldete Plus-Mitglieder können Plus-Inhalte kommentieren und bewerten.