游戏
Steam曾经有一个可以随意获取免费游戏的漏洞
在阀门厂(Valve,经营Steam平台的公司)那由蒸汽管道、电线和和各种管子组成的迷宫中,有人得好好感谢一下一个叫做Artem Moskowsky的人。这个自称“漏洞猎人”的家伙找到了一个方法,能够让他在Steam平台上免费获得成千上万个免费的游戏激活码。嗯,如果他只是个小人物的话,估计就会自己留着这个方法找没人的地方去偷着乐了。但是他却把这个Bug报告给了阀门厂。
今年8月,Moskowsky发现了这个漏洞并且把它报告给了Valve。但直到最近,阀门厂才公开了这个消息。作为奖励,Valve给了Moskowsky两万美元的奖金——与终身的免费游戏相比实在是不值一提。
Valve在一个叫做HackerOne的漏洞举报平台上发表了一篇报告,表明这个Bug来自于Steam平台的开发者工具。通过添加“特定的参数”,任何能够接触到这个软件的人都能让开发者工具不断地吐出一个又一个免费的游戏游戏激活码——即便他并不拥有这个游戏,也不是这个游戏的开发者。
Valve声称,没有迹象表明这个漏洞曾经被人真正不当利用过。对他们来说,这当然是个好消息。因为根据一家叫做The Register的媒体对Moskowsky的采访来看,当时他轻轻松松就骗过了Steam的系统,免费获得了36000个《传送门2(Portal 2,Valve本社著名游戏)》的激活码。
鉴于Steam的发展历史总是伴随着非法倒卖激活码的二手网站以及诈骗问题,不难想象如果这个漏洞真的被不法之徒发现并利用的话,会是怎样一番壮观场面。再加上现如今成为开法者和获取Steam的合作者工具门槛极低,恐怕到时候对于Valve来说场面会非常难看。(话说回来,谁知道在Valve发现并紧急修复之前,这个Bug到底存在了多长时间呢?)
而至于Moskowsky,真心是个侠肝义胆的好人,因为过去几个月以来,他都一直靠着自己手里的那一堆数字化锦囊妙计在给Valve做全面体检。今年七月,他还发现过另外一个Bug,获得了25000美元的奖金。