Steam bevatte bug die toegang gaf tot activatiesleutels voor alle games

Steam bevatte een bug waardoor het mogelijk was om cd keys voor alle games op het platform te krijgen. Dat ontdekte beveiligingsonderzoeker Artem Moskowsky. Steam heeft de kwetsbaarheid aangepast en de onderzoeker beloond met 20.000 dollar.

Volgens Moskowsky zat de bug in Steamworks, het platform dat ontwikkelaars in staat stelt om games uit te brengen op Steam. Moskowsky zegt tegen ZDNet dat hij een kwetsbaarheid vond in de api die ontwikkelaars in staat stelt om cd keys te genereren.

Onder normale omstandigheden geeft de api een error als een Steam-gebruiker een cd key probeert op te vragen zonder dat het gebruikte account de game in bezit heeft. Door een keycount-parameter aan te passen naar "0" kon Moskowsky echter een bestand met cd keys van iedere game krijgen. Door id's aan te passen die makkelijk zijn te raden was het mogelijk om van alle games de gegenereerde keys op te vragen.

Volgens de beveiligingsonderzoeker uit Oekraïne was de kwetsbaarheid 'niet duidelijk' aanwezig voor de gemiddelde kijker. Voordat hij Steam inlichtte, downloadde hij als test meer dan 36.000 cd keys voor Portal 2. Moskowsky rapporteerde de kwetsbaarheid in augustus via bugbountyplatform HackerOne.

Valve heeft de fout binnen enkele dagen aangepast, maar brengt dat nu pas naar buiten. Het is niet duidelijk of anderen dezelfde ontdekking hebben gedaan en hier misbruik van gemaakt hebben. Moskowsky kreeg 20.000 dollar voor zijn ontdekking. In juli kreeg hij al 25.000 dollar van Valve na het ontdekken van een kwetsbaarheid in Steamworks dat sql-injectie mogelijk maakte.

Door Julian Huijbregts

Nieuwsredacteur

Feedback • 09-11-2018 18:26
58 • submitter: Yammie74

09-11-2018 • 18:26

58

Submitter: Yammie74

Lees meer

Valve patcht bug die ophogen Steam Wallet-saldo mogelijk maakte
Valve patcht bug die ophogen Steam Wallet-saldo mogelijk maakte Nieuws van 16 augustus 2021
Valve repareert na twee jaar remote code execution-lek in Steam
Valve repareert na twee jaar remote code execution-lek in Steam Nieuws van 19 april 2021
Android-bestandsbeheerder ES File Explorer liet data van telefoon uitlekken
Android-bestandsbeheerder ES File Explorer liet data van telefoon uitlekken Nieuws van 17 januari 2019
Androidversie Skype stond gebruiker toe om vergrendeling os te omzeilen
Androidversie Skype stond gebruiker toe om vergrendeling os te omzeilen Nieuws van 5 januari 2019
Valve dicht tien jaar oude kwetsbaarheid in Steam
Valve dicht tien jaar oude kwetsbaarheid in Steam Nieuws van 1 juni 2018
Kwetsbaarheid maakte gamepublicatie zonder toestemming mogelijk op Steam
Kwetsbaarheid maakte gamepublicatie zonder toestemming mogelijk op Steam Nieuws van 30 maart 2016
Steam gebruikt verouderde Chromium-browser
Steam gebruikt verouderde Chromium-browser Nieuws van 9 februari 2016
Beveiligingsbedrijf ontdekt kwetsbaarheid in Steam
Beveiligingsbedrijf ontdekt kwetsbaarheid in Steam Nieuws van 18 oktober 2012
Meer producten en artikelen
Networking en security Steam Valve Beveiliging

Reacties (58)

-Moderatie-faq
58
54
23
2
0
14
Wijzig sortering

Sorteer op:

Weergave:
Yordi- 9 november 2018 18:50
Wat ik eigenlijk mis is de vraag of het Steam is opgevallen dat 1 persoon 36.000 keys heeft bemachtigd. Zo niet is dat een groter lek dan de kwetsbaarheid zelf.
robvanwijk
@Yordi-9 november 2018 18:55
En het past ook niet helemaal bij mijn idee van bug bounties. Je vraagt één key op om het punt aan te tonen, misschien een tweede om te bewijzen dat je meerdere keys kunt opvragen (en de bug dus misbruikt kan worden om keys door te verkopen) en misschien kun je een excuus verzinnen om een derde code op te vragen... maar 36.000!?
Verwijderd @robvanwijk9 november 2018 19:20
Het zijn cd-keys, geen echte producten. Ze kunnen makkelijk ongeldig verklaard worden.
Verwijderd @Verwijderd9 november 2018 20:19
Het zijn cd-keys, geen echte producten. Ze kunnen makkelijk ongeldig verklaard worden.
Niet helemaal waar. Vorig jaar kocht een wederverkoper van ons een reeks codes van een partij die in het bezit bleek van een reeks codes die alleen voor India bedoelt was (en dus een duidelijk lager prijs hadden). Hij verkocht die in de UK. Steam besloot die codes niet ongeldig te verklaren. Wij hebben nooit begrepen waarom. Ik denk dat steam hier de makkelijkste weg koos. En als je dan die klanten (die gewoon geen compleet legale licentie hebben, of ze het weten of niet) niet wil ondersteunen krijg je je PM van Steam aan de telefoon.

Natuurlijk is het probleem dat je als Steam partner geen andere keuze hebt dan slikken of stikken hebt. Als je voor 90% afhankelijk bent van verkopen via Steam dan is het aanlokkelijk om voor slikken te kiezen. Ik wil hier Steam niet als de duivel afschilderen. Meestal kan je prima praten met ze. Maar soms.... als je de verkeerde persoon treft.... dan zie de macht van Steam.
Cerberus_tm @Verwijderd10 november 2018 01:29
Zijn geolocks niet een beetje uit de tijd? Ik snap wel dat Steam mensen daarom niet gaat straffen. Ik vraag me überhaupt af of dat wel legaal zou zijn.
Rinzwind @Cerberus_tm10 november 2018 03:37
Regionale prijzen zijn nog steeds nodig en gangbaar. Niet iedereen heeft hetzelfde te besteden en niet elke regio heeft hetzelfde over voor gaming. In hoeverre dat gecontroleerd moet worden door speciale keys is een tweede. Geolocks staat daar buiten, dat is meer content niet tegelijk overal beschikbaar maken maar spreiden oa om marketing te vergemakkelijken en tijd te geven voor vertaling.

[Reactie gewijzigd door Rinzwind op 22 juli 2024 13:34]

Cerberus_tm @Rinzwind10 november 2018 04:43
Op beide punten oneens.
Xploited Titan @Rinzwind11 november 2018 10:31
De geolocks zijn voornamelijk daar om de wat gegoedere mens meer te doen betalen.
Als ze spellen aan, bijv. 40 € in India kunnen verkopen, waarom moet een Belg of Nederlander dan 60 € betalen?

In Europa meen ik dat een prijs naar de kop van de klant stellen onwettelijk is. Nu zou men dit op de wereldeconomie moeten toepassen.

Wat betreft vertalingen, dit zit allemaal in de development kosten, dus kan dit onder alle gebruikers verspreid worden.

Nu is er een ander euvel opgelost met geolocking: minder zware infrastructuur investeringen voor het downloaden/spelen van spellen. Wegens winstbejag besparen de meeste bedrijven op deftige infrastructuur (met connectie- of inlogproblemen, o.a. als gevolg).
spellcoder @Xploited Titan12 november 2018 09:22
Als een spel overal zo goedkoop maken dat ze het in lage lonen landen kunnen betalen, kunnen ze daarmee misschien het spel niet financieren. Maar als ze overal wel een kosten dekkende prijs rekenen gaat vrijwel niemand in lage lonen landen het spel nog kopen.

Zie de verkoop in India als "bijvangst". Doordat ze nog wat verkopen daar, ook al is het met een lagere prijs, zijn er meer inkomsten. En misschien zal voor ons de prijs daardoor ook iets lager uitvallen dan als alle verkoop puur uit de rijkere landen kwam.

En je kan in plaats van de praktische kant ook bekijken van de kant van de lage lonen landen... Zou je het eerlijk vinden en ok vinden als wij meer ging betalen voor spellen omdat ze in landen zoals Noorwegen meer verdienen?
MrMonkE @Verwijderd9 november 2018 21:07
Ik vind dat je er als Steam van uit moest gaan dat de mensen het niet weten. En dus gewoon deze mensen met rust moet laten. Dat is klantvriendelijk.
The Zep Man
@robvanwijk9 november 2018 19:02
En het past ook niet helemaal bij mijn idee van bug bounties. Je vraagt één key op om het punt aan te tonen, misschien een tweede om te bewijzen dat je meerdere keys kunt opvragen (en de bug dus misbruikt kan worden om keys door te verkopen) en misschien kun je een excuus verzinnen om een derde code op te vragen... maar 36.000!?
Het toont ook aan dat er geen goede (actieve) gedragsmonitoring is als het lukt om 36.000 sleutels te genereren voor iets waarvoor (mogelijk) nooit zoveel sleutels gegenereerd worden.

Het is niet alsof Steam waarde heeft verloren. Het betreffen geen persoonsgegevens, o.i.d. De 36.000 gegenereerde sleutels kunnen gewoon ingetrokken worden.

[Reactie gewijzigd door The Zep Man op 22 juli 2024 13:34]

Verwijderd @The Zep Man9 november 2018 19:29
Het toont ook aan dat er geen goede (actieve) gedragsmonitoring is als het lukt om 36.000 sleutels te genereren voor iets waarvoor (mogelijk) nooit zoveel sleutels gegenereerd worden.
36.000 is veel maar als je steam add-ons in box verkoopt (zoals niet ongebruikelijk in Duitstalige landen) dan komt het best voor dat je 15.000 key laat genereren. Ik heb dat met regelmaat gedaan. Vandaag nog. Ik kan me best voorstellen dat je voor een product als Farming Simulator dat soort aantallen maakt. Mediamarkt verkoopt makkelijk 10k daarvan in box per week.
EraYaN @The Zep Man9 november 2018 19:35
Er zal ook een reden zijn geweest waarom hij een Valve game heeft gekozen. Daar heeft Valve dan geen last van met externe partijen. En er had ook maar 1 key in kunnen zitten ofzo voor een ID 0 account of wat dan ook. Herhaalbaarheid is altijd belangrijk. Maar goed dan is de vraag, 100, 1000, 10000 etc. Maar goed kan ook zijn dat hij in 1 keer een lijst binnen kreeg natuurlijk.
0xygen500 @robvanwijk9 november 2018 19:05
als je niks doet met die codes whats the problem?
NosferatuX @robvanwijk9 november 2018 20:59
Waarschijnlijk om de ernst aan te tonen zodat dat terug te zien is in de beloning. "Hey, jullie hebben een lek, kijk maar hier zijn 36.000 keys!" Dat klinkt wat intenser dan 1 key. Klinkt knullig maar zo werkt het wel, mensen denken zelf niet zo veel meer moeten alles op een presenteer blaadje hebben :Y)
airell @robvanwijk11 november 2018 16:55
Misschien een scriptje en voordat hij op ctrl-c kon drukken had hij er al +/-36.000 binnen...
lilmonkey @Yordi-9 november 2018 18:59
Het is een developer API voor het genereren van key lijsten, dus dat aantal is normaal...
TigerXtrm @lilmonkey10 november 2018 01:17
Ware het niet dat Portal 2 een game is van Valve zelf. Als een willekeurige account die niet van Valve is vrolijk 36.000 keys genereert zou je toch verwachten dat er ergens alarm bellen gaan rinkelen.
MrFax @TigerXtrm10 november 2018 10:27
En hij zal 1 key waarschijnlijk gebruikt hebben om te testen. Heeft ie naast 20k ook nog portal 2 gekregen. Al zal hij wel portal 2 hebben gekozen omdat hij het zelf al had(tweede account)
Verwijderd @lilmonkey9 november 2018 19:59
Inderdaad, absoluut niet abnormaal. Wellicht dat Tweakers dat nog kan toevoegen want nu lijkt het een veel groter probleem dan dat het is (zoals meestal, ik zou graag zien dat Tweakers wat meer opvolging deed van de meer schreeuwerige koppen).
theduke1989 @Verwijderd9 november 2018 20:29
Het bericht toont aan dat er een bug was en deze is opgelost. En er beloning is uitgegeven.

Waarom moet je de andere info erbij hebben is toch voor jou niet relevant. Je kan er niks mee met de oplossing wel.
Alexscended @Yordi-9 november 2018 19:04
Valve genereert zo weer 36.000 nieuwe keys als product-owner van de game. :)
Maar als Moskowsky echter niets had gezegd en ze Steam wás er achtergekomen dan had hij een hele fikse boete moeten betalen.
d22wth 9 november 2018 18:38
Netjes van hem dat hij dat aangaf. Hij wist waarschijnlijk van de vorige keer nog wel dat hij er 'iets' voor zou krijgen ;) Is natuurlijk niet niks als je de keys dan ook echt kunt activeren!
kuurtjes 9 november 2018 18:34
Dat zijn deftige prijzen :)

Als je weet wat je doet kon je hier veel meer mee verdienen.
Ayporos @kuurtjes9 november 2018 18:46
Ja, als je een geniepige zakenman zou zijn wel ja..

Maar je hebt het hier over een hacker/cracker/programma ontwikkelaar/analist... ik ken maar weinig geniepige zakenmannetjes die verstand van computercode hebben. Is toch een heel ander soort mens. ;)
kuurtjes @Ayporos9 november 2018 19:22
Ha ik ken er wel een paar. Er valt bijvoorbeeld veel geld met unieke Adidas sneakers te verdienen. Ze releasen die periodiek op bepaalde websites. En er zijn dus volledige bots en tools voor geschreven (die echt nog wel goed in elkaar steken) om zo snel mogelijk die sneakers te kunnen kopen. En dan worden die voor 5-10x zoveel verkocht.

De meeste hackers die geld verdienen stelen niet, die spelen gewoon oneerlijk. :)

Niet dat ik het goedpraat natuurlijk. Ik ben ook een beetje met zo'n dingen bezig geweest en je zonden komen je uiteindelijk wel achterna.
h3ll @kuurtjes10 november 2018 12:29
Zo ook bij concert/festival tickets, was recent nog in het nieuws.. Binnen een uurtje Rammstein tickets uitverkocht, vervolgens staan ze voor woekerprijzen op andere sites.
Ravocs @kuurtjes9 november 2018 18:45
Dat geldt ook als je weet wat je doet en BMWs steelt...
Daniel_Elessar @Ravocs9 november 2018 18:48
Echter is dit legaal en BMW ‘s stelen illegaal :) het is maar een klein verschil.
aadje93 @Daniel_Elessar9 november 2018 19:46
Euhm, piraterij van software is ook gewoon hartstikke illegaal...
Zonder toestemming licentie codes aanmaken hoort hier dus ook gewoon bij.
Daniel_Elessar @aadje939 november 2018 21:50
True, maar je moet ergens je case maken als je deze bugs aangeeft bij de desbetreffende instantie. Hij heeft ze blijkbaar niet gebruikt in de illegale handel. Dus nee, geen vergelijking. Als hij ze had verkocht dan is het inderdaad illegaal.
SuperDre @Daniel_Elessar10 november 2018 09:39
Als hij de bugs had misbruikt en daarna had aangegeven, dan had hij ipv 20.000 dollar mogelijk in de gevangenis gezeten. En je moet heel wat keys verkopen om zo'n bedrag bij elkaar te sparen, waarschijnlijk zoveel dat het wel gaat opvallen.
watercoolertje @SuperDre10 november 2018 14:33
1000 keys van 20 euro, denk niet dat het op valt eigenlijk...
Ravocs @Daniel_Elessar9 november 2018 18:50
Ik interpreteerde het als "keys voor alle games maken" ipv "bugs aangeven", maar het kan allebei zo worden gelezen zie ik nu
kuurtjes @Ravocs9 november 2018 19:09
Ik bedoel inderdaad gewoon zelf keys aanmaken. En ik zei het omdat je hier na een tijd wel meerdere BMW's mee zou kunnen kopen. Bijvoorbeeld als topseller op G2A zul je wel wat geld zien. :)

Niet dat ik zeg dat die man dat had moeten doen, zou natuurlijk niet vrij moreel zijn.
HolyDemon @jetspiking9 november 2018 22:12
Hoe is dit diefstal? Kan je dat uitleggen? Ik zie hier namelijk totaal geen diefstal.
jetspiking Freelanceredacteur @HolyDemon9 november 2018 22:38
"Dat zijn deftige prijzen

Als je weet wat je doet kon je hier veel meer mee verdienen."

Dat duidt toch op een iets minder nette methode?

[Reactie gewijzigd door jetspiking op 22 juli 2024 13:34]

HolyDemon @jetspiking10 november 2018 13:27
Mijn interpretatie was dat daarmee werd bedoeld dat de beloningen die de onderzoeken kreeg niet laag waren en iemand die dus goed is in dit soort veiligheidslekken opsporen hier op die manier aardig wat mee kan verdienen.

Dit vind ik totaal niet als diefstal klinken.

Wellicht was jouw interpretatie dat er gehint werd op misbruik maken van het lek en keys verkopen? Dan zou ik het volledig met je eens zijn namelijk.
watercoolertje @jetspiking10 november 2018 14:32
Absoluut niet netjes, mogelijk zelfs illegaal, maar het is geen diefstal :)
Wingman555 9 november 2018 18:51
Dat is één van de mogelijke inkomsten van een ethical hacker
CriticalHit_NL 9 november 2018 19:08
Vraag me af of er ook daadwerkelijk mensen zijn die hiervan wisten en het misbruikt hebben.

Beetje offtopic:
Wie een hekel heeft aan de nieuwe interface voor vrienden kun je nu tijdelijk -steamos gebruiken. -nofriendsui en -nochatui werken niet meer.
Marctraider @CriticalHit_NL9 november 2018 19:30
Oh? Die parameters werken hier anders nog prima?

Ja idd hier ook hekel aan die nieuwe interface ;-)

[Reactie gewijzigd door Marctraider op 22 juli 2024 13:34]

CriticalHit_NL @Marctraider9 november 2018 19:45
Niet meer sinds vandaag of zo als je de Steam update krijgt.
sjongenelen 9 november 2018 19:24
Zou 36000 iets met portal te maken kunnen hebben? Ik bedoel, ik vind het een apart aantal. Mis ik een reference?

36000 - 35997 = 3 == half life 3 confirmed?

[Reactie gewijzigd door sjongenelen op 22 juli 2024 13:34]

still_the_same @sjongenelen9 november 2018 20:22
Je bent dik in de min gezet, maar stiekem moest ik wel gribneken om je post ;)
jesco_white 9 november 2018 19:24
Met -steamos kom ik alleen niet meer in de Steam overlay (Alt + Tab) om mijn vriendenlijst te openen.
Tenminste, in Insurgency.

[Reactie gewijzigd door jesco_white op 22 juli 2024 13:34]

CriticalHit_NL @jesco_white9 november 2018 19:45
Dit klopt volgens mij wel ja, las het ook her en der online.
Dat is helaas kiezen of delen.
MrMonkE @jesco_white9 november 2018 21:09
Laten we hopen dat het generiek is want de enige keer dat ik daarin terecht kom is per ongeluk :+
vrow 9 november 2018 23:11
Het zou pas echt leuk zijn geweest als ze hem als dank een gratis key voor Portal 2 hadden gegeven :+
Nokian95dude 9 november 2018 23:43
Denk dat de keys toch wel onbruikbaar gemaakt zijn nu....
Exxus 10 november 2018 07:42
Ben ik de enige die €20.000,- dan belachelijk weinig vind?
Dit is een kwetsbaarheid die Valve erg veel geld had kunnen kosten.
Amped @Exxus10 november 2018 13:39
Niet bepaald. Steam was hier toch wel achter gekomen en konden dan de keys intrekken.
Verwijderd @Exxus11 november 2018 14:04
20k voor het vinden van een exploit is toch een redelijk bedrag, hoor.
De beloning is voor verricht werk, en dat is snel verdiend.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq