STEAM最擅长的是什么?当然是掏空玩家们的钱包啦!不过,与此同时,黑客们也一直以各种形式在掏V社的腰包。树大招风,自Steam平台成立以来,就不断有好事之人或者恶意攻击者希望能找到平台的漏洞,几乎成了V社和各国黑客们的战场。 Valve和黑客的战斗由来已久,可能是发现宜疏不宜堵。于是在今年五月,他们开始公开“招安”黑客:在一个叫HackerOne的平台上运行他们的漏洞赏金计划。 在HackerOne上,没有门槛或者需要你有什么资格证明,只要你能有实力提供系统漏洞,那你就有钱赚。V社在赏金计划里,把漏洞分为四个档次:严重、高、中、低,每种档次的赏金也有各自的标准,比如低档的漏洞最高能给200,而档次为严重的漏洞最低赏金1500,最高没有上限。 而免费拿游戏的这个漏洞,就是高赏金中的一个。“BUG猎人”莫斯科夫斯基在今年八月就发现了一个严重的漏洞,获得了Valve的高额2万美元奖金。这个漏洞在这个月刚刚公开,利用了一个Steam开发者工具的问题:开发商或者发行商可以调用SteamAPI来获得激活码——当然是自己的游戏,但是如果将需要的激活码数量调为0,那就能绕开限制获得其他公司的激活码,甚至没有数量限制。 而这意味着在今年8月前,其实谁都可以偷偷摸摸在Steam上窃取任何游戏的激活码,甚至不限量。而发现这个漏洞的莫斯科夫斯基如果保持低调,神不知鬼不觉的偷拿几个游戏,那被发现的概率也很低。几乎等于终身免费玩Steam上游戏的权利了。 不过莫斯科夫斯基倒是没有遮遮掩掩,据他所说他利用这个漏洞一次性获取了36000个《传送门2》的激活码,然后把这个漏洞提交给Valve了。 这么一个严重性高的漏洞这么多年竟然没被发现过!如果被心怀不轨的人利用不知道能引起多大的负面影响。不过万幸的是,根据Valve调查表示,目前没有发现该漏洞实际被滥用的证据。 虽然据莫斯科夫斯基所说,这是在探索Web应用程序的功能时随机发现的,但整件事也不是绝对的偶然。他作为BUG猎人,自上学开始就在进行网络安全方面的研究。过去的几年里,也是一直专注于这种悬赏。 如果你发现了这种漏洞,在免费游戏和漏洞变现两个选择中,你会选择哪个呢? |
