Вот так деточки! - подросток-хакер взломал Steam

Алексей Меркухин
30 марта 2016 11:40

В основном каталоге Steam на некоторое время появилась игра Watch Paint Dry, чья продолжительность составляет 45 секунд. Как поясняет Kotaku, в цифровом сервисе ее опубликовали в обход системы голосования в Steam Greenlight и без разрешения компании Valve, создателя онлайн-магазина.

Автором прототипа, в котором нужно смотреть на высыхающую краску на стене, стал 16-летний подросток Руби Дилон. Внедрить в систему свою «игру» он смог, воспользовавшись уязвимостью в программном коде. Этому предшествовало несколько попыток подростка связаться с администрацией площадки по электронной почте: в письмах он указывал на брешь в защите.

В подробном посте Дилон рассказал, как в феврале этого года заполучил инструментарии Steamworks, с помощью которых компании подготавливают свои игры к публикации в Steam. Изучив программный код, он узнал о трехступенчатой системе защиты. Прежде всего, страница товара, включая различные функции, должна получить одобрение Valve. Затем автор должен предоставить финальную сборку игры, и лишь после этого администрация разрешает или запрещает продажу.

Несмотря на это, юному хакеру удалось обмануть систему проверки. Для этого он воспользовался уязвимостью, связанной с коллекционными карточками для обмена. Убедив систему в получении одобрение от одного из редакторов Valve, Дилон лично внес изменения в программный код, добавив идентификаторы игры и страницы (используя ID карточек), а также дату релиза. Вскоре Watch Paint Dry появилась в разделе новых релизов Steam.

В разговоре с Kotaku юный взломщик рассказал о реакции клиентов интернет-магазина на его работу. Некоторые, по его словам, просили уточнить, когда они смогут приобрести игру. Другие раскритиковали Watch Paint Dry, обвинив Дилона в том, что подобные ему новички превратили индустрию в помойку. Сам хакер заявил, что никогда не собирался зарабатывать на игре, встроив ее в каталог, только чтобы продемонстрировать изъяны Steam.

Всего в защите сервиса подросток обнаружил от 75 до ста уязвимостей, из них около десяти — серьезные. При этом на осуществление розыгрыша ему понадобилось около двух ночей. Проделанная работа, как он считает, должна продемонстрировать подписчикам онлайновой платформы, что она не так уж безопасна. Он также добавил, что после инцидента никто из Valve с ним не связывался.

После публикации материала журналисты связались с Valve. Представитель компании заверил, что ошибка в скором времени будет исправлена, а также поблагодарил Руби за помощь. Ему также оставят специальный аккаунт издателя, чтобы он и в дальнейшем находил уязвимости и сообщал о них администрации Steam.

http://gmbox.ru/publisher/steam/podrostok-haker-vzlomal-steam