Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Steam bevatte bug die toegang gaf tot activatiesleutels voor alle games

Steam bevatte een bug waardoor het mogelijk was om cd keys voor alle games op het platform te krijgen. Dat ontdekte beveiligingsonderzoeker Artem Moskowsky. Steam heeft de kwetsbaarheid aangepast en de onderzoeker beloond met 20.000 dollar.

Volgens Moskowsky zat de bug in Steamworks, het platform dat ontwikkelaars in staat stelt om games uit te brengen op Steam. Moskowsky zegt tegen ZDNet dat hij een kwetsbaarheid vond in de api die ontwikkelaars in staat stelt om cd keys te genereren.

Onder normale omstandigheden geeft de api een error als een Steam-gebruiker een cd key probeert op te vragen zonder dat het gebruikte account de game in bezit heeft. Door een keycount-parameter aan te passen naar "0" kon Moskowsky echter een bestand met cd keys van iedere game krijgen. Door id's aan te passen die makkelijk zijn te raden was het mogelijk om van alle games de gegenereerde keys op te vragen.

Volgens de beveiligingsonderzoeker uit Oekraïne was de kwetsbaarheid 'niet duidelijk' aanwezig voor de gemiddelde kijker. Voordat hij Steam inlichtte, downloadde hij als test meer dan 36.000 cd keys voor Portal 2. Moskowsky rapporteerde de kwetsbaarheid in augustus via bugbountyplatform HackerOne.

Valve heeft de fout binnen enkele dagen aangepast, maar brengt dat nu pas naar buiten. Het is niet duidelijk of anderen dezelfde ontdekking hebben gedaan en hier misbruik van gemaakt hebben. Moskowsky kreeg 20.000 dollar voor zijn ontdekking. In juli kreeg hij al 25.000 dollar van Valve na het ontdekken van een kwetsbaarheid in Steamworks dat sql-injectie mogelijk maakte.

Door Julian Huijbregts

Nieuwsredacteur

09-11-2018 • 18:26

58 Linkedin Google+

Submitter: Yammie74

Reacties (58)

Wijzig sortering
Wat ik eigenlijk mis is de vraag of het Steam is opgevallen dat 1 persoon 36.000 keys heeft bemachtigd. Zo niet is dat een groter lek dan de kwetsbaarheid zelf.
En het past ook niet helemaal bij mijn idee van bug bounties. Je vraagt één key op om het punt aan te tonen, misschien een tweede om te bewijzen dat je meerdere keys kunt opvragen (en de bug dus misbruikt kan worden om keys door te verkopen) en misschien kun je een excuus verzinnen om een derde code op te vragen... maar 36.000!?
Het zijn cd-keys, geen echte producten. Ze kunnen makkelijk ongeldig verklaard worden.
Het zijn cd-keys, geen echte producten. Ze kunnen makkelijk ongeldig verklaard worden.
Niet helemaal waar. Vorig jaar kocht een wederverkoper van ons een reeks codes van een partij die in het bezit bleek van een reeks codes die alleen voor India bedoelt was (en dus een duidelijk lager prijs hadden). Hij verkocht die in de UK. Steam besloot die codes niet ongeldig te verklaren. Wij hebben nooit begrepen waarom. Ik denk dat steam hier de makkelijkste weg koos. En als je dan die klanten (die gewoon geen compleet legale licentie hebben, of ze het weten of niet) niet wil ondersteunen krijg je je PM van Steam aan de telefoon.

Natuurlijk is het probleem dat je als Steam partner geen andere keuze hebt dan slikken of stikken hebt. Als je voor 90% afhankelijk bent van verkopen via Steam dan is het aanlokkelijk om voor slikken te kiezen. Ik wil hier Steam niet als de duivel afschilderen. Meestal kan je prima praten met ze. Maar soms.... als je de verkeerde persoon treft.... dan zie de macht van Steam.
Zijn geolocks niet een beetje uit de tijd? Ik snap wel dat Steam mensen daarom niet gaat straffen. Ik vraag me überhaupt af of dat wel legaal zou zijn.
Regionale prijzen zijn nog steeds nodig en gangbaar. Niet iedereen heeft hetzelfde te besteden en niet elke regio heeft hetzelfde over voor gaming. In hoeverre dat gecontroleerd moet worden door speciale keys is een tweede. Geolocks staat daar buiten, dat is meer content niet tegelijk overal beschikbaar maken maar spreiden oa om marketing te vergemakkelijken en tijd te geven voor vertaling.

[Reactie gewijzigd door Rinzwind op 10 november 2018 03:39]

De geolocks zijn voornamelijk daar om de wat gegoedere mens meer te doen betalen.
Als ze spellen aan, bijv. 40 ¤ in India kunnen verkopen, waarom moet een Belg of Nederlander dan 60 ¤ betalen?

In Europa meen ik dat een prijs naar de kop van de klant stellen onwettelijk is. Nu zou men dit op de wereldeconomie moeten toepassen.

Wat betreft vertalingen, dit zit allemaal in de development kosten, dus kan dit onder alle gebruikers verspreid worden.

Nu is er een ander euvel opgelost met geolocking: minder zware infrastructuur investeringen voor het downloaden/spelen van spellen. Wegens winstbejag besparen de meeste bedrijven op deftige infrastructuur (met connectie- of inlogproblemen, o.a. als gevolg).
Als een spel overal zo goedkoop maken dat ze het in lage lonen landen kunnen betalen, kunnen ze daarmee misschien het spel niet financieren. Maar als ze overal wel een kosten dekkende prijs rekenen gaat vrijwel niemand in lage lonen landen het spel nog kopen.

Zie de verkoop in India als "bijvangst". Doordat ze nog wat verkopen daar, ook al is het met een lagere prijs, zijn er meer inkomsten. En misschien zal voor ons de prijs daardoor ook iets lager uitvallen dan als alle verkoop puur uit de rijkere landen kwam.

En je kan in plaats van de praktische kant ook bekijken van de kant van de lage lonen landen... Zou je het eerlijk vinden en ok vinden als wij meer ging betalen voor spellen omdat ze in landen zoals Noorwegen meer verdienen?
Ik vind dat je er als Steam van uit moest gaan dat de mensen het niet weten. En dus gewoon deze mensen met rust moet laten. Dat is klantvriendelijk.
En het past ook niet helemaal bij mijn idee van bug bounties. Je vraagt één key op om het punt aan te tonen, misschien een tweede om te bewijzen dat je meerdere keys kunt opvragen (en de bug dus misbruikt kan worden om keys door te verkopen) en misschien kun je een excuus verzinnen om een derde code op te vragen... maar 36.000!?
Het toont ook aan dat er geen goede (actieve) gedragsmonitoring is als het lukt om 36.000 sleutels te genereren voor iets waarvoor (mogelijk) nooit zoveel sleutels gegenereerd worden.

Het is niet alsof Steam waarde heeft verloren. Het betreffen geen persoonsgegevens, o.i.d. De 36.000 gegenereerde sleutels kunnen gewoon ingetrokken worden.

[Reactie gewijzigd door The Zep Man op 9 november 2018 19:04]

Het toont ook aan dat er geen goede (actieve) gedragsmonitoring is als het lukt om 36.000 sleutels te genereren voor iets waarvoor (mogelijk) nooit zoveel sleutels gegenereerd worden.
36.000 is veel maar als je steam add-ons in box verkoopt (zoals niet ongebruikelijk in Duitstalige landen) dan komt het best voor dat je 15.000 key laat genereren. Ik heb dat met regelmaat gedaan. Vandaag nog. Ik kan me best voorstellen dat je voor een product als Farming Simulator dat soort aantallen maakt. Mediamarkt verkoopt makkelijk 10k daarvan in box per week.
Er zal ook een reden zijn geweest waarom hij een Valve game heeft gekozen. Daar heeft Valve dan geen last van met externe partijen. En er had ook maar 1 key in kunnen zitten ofzo voor een ID 0 account of wat dan ook. Herhaalbaarheid is altijd belangrijk. Maar goed dan is de vraag, 100, 1000, 10000 etc. Maar goed kan ook zijn dat hij in 1 keer een lijst binnen kreeg natuurlijk.
als je niks doet met die codes whats the problem?
Waarschijnlijk om de ernst aan te tonen zodat dat terug te zien is in de beloning. "Hey, jullie hebben een lek, kijk maar hier zijn 36.000 keys!" Dat klinkt wat intenser dan 1 key. Klinkt knullig maar zo werkt het wel, mensen denken zelf niet zo veel meer moeten alles op een presenteer blaadje hebben :Y)
Misschien een scriptje en voordat hij op ctrl-c kon drukken had hij er al +/-36.000 binnen...
Het is een developer API voor het genereren van key lijsten, dus dat aantal is normaal...
Ware het niet dat Portal 2 een game is van Valve zelf. Als een willekeurige account die niet van Valve is vrolijk 36.000 keys genereert zou je toch verwachten dat er ergens alarm bellen gaan rinkelen.
En hij zal 1 key waarschijnlijk gebruikt hebben om te testen. Heeft ie naast 20k ook nog portal 2 gekregen. Al zal hij wel portal 2 hebben gekozen omdat hij het zelf al had(tweede account)
Inderdaad, absoluut niet abnormaal. Wellicht dat Tweakers dat nog kan toevoegen want nu lijkt het een veel groter probleem dan dat het is (zoals meestal, ik zou graag zien dat Tweakers wat meer opvolging deed van de meer schreeuwerige koppen).
Het bericht toont aan dat er een bug was en deze is opgelost. En er beloning is uitgegeven.

Waarom moet je de andere info erbij hebben is toch voor jou niet relevant. Je kan er niks mee met de oplossing wel.
Valve genereert zo weer 36.000 nieuwe keys als product-owner van de game. :)
Maar als Moskowsky echter niets had gezegd en ze Steam wás er achtergekomen dan had hij een hele fikse boete moeten betalen.
Netjes van hem dat hij dat aangaf. Hij wist waarschijnlijk van de vorige keer nog wel dat hij er 'iets' voor zou krijgen ;) Is natuurlijk niet niks als je de keys dan ook echt kunt activeren!
Dat zijn deftige prijzen :)

Als je weet wat je doet kon je hier veel meer mee verdienen.
Ja, als je een geniepige zakenman zou zijn wel ja..

Maar je hebt het hier over een hacker/cracker/programma ontwikkelaar/analist... ik ken maar weinig geniepige zakenmannetjes die verstand van computercode hebben. Is toch een heel ander soort mens. ;)
Ha ik ken er wel een paar. Er valt bijvoorbeeld veel geld met unieke Adidas sneakers te verdienen. Ze releasen die periodiek op bepaalde websites. En er zijn dus volledige bots en tools voor geschreven (die echt nog wel goed in elkaar steken) om zo snel mogelijk die sneakers te kunnen kopen. En dan worden die voor 5-10x zoveel verkocht.

De meeste hackers die geld verdienen stelen niet, die spelen gewoon oneerlijk. :)

Niet dat ik het goedpraat natuurlijk. Ik ben ook een beetje met zo'n dingen bezig geweest en je zonden komen je uiteindelijk wel achterna.
Zo ook bij concert/festival tickets, was recent nog in het nieuws.. Binnen een uurtje Rammstein tickets uitverkocht, vervolgens staan ze voor woekerprijzen op andere sites.
Dat geldt ook als je weet wat je doet en BMWs steelt...
Echter is dit legaal en BMW ‘s stelen illegaal :) het is maar een klein verschil.
Euhm, piraterij van software is ook gewoon hartstikke illegaal...
Zonder toestemming licentie codes aanmaken hoort hier dus ook gewoon bij.
True, maar je moet ergens je case maken als je deze bugs aangeeft bij de desbetreffende instantie. Hij heeft ze blijkbaar niet gebruikt in de illegale handel. Dus nee, geen vergelijking. Als hij ze had verkocht dan is het inderdaad illegaal.
Als hij de bugs had misbruikt en daarna had aangegeven, dan had hij ipv 20.000 dollar mogelijk in de gevangenis gezeten. En je moet heel wat keys verkopen om zo'n bedrag bij elkaar te sparen, waarschijnlijk zoveel dat het wel gaat opvallen.
1000 keys van 20 euro, denk niet dat het op valt eigenlijk...
Ik interpreteerde het als "keys voor alle games maken" ipv "bugs aangeven", maar het kan allebei zo worden gelezen zie ik nu
Ik bedoel inderdaad gewoon zelf keys aanmaken. En ik zei het omdat je hier na een tijd wel meerdere BMW's mee zou kunnen kopen. Bijvoorbeeld als topseller op G2A zul je wel wat geld zien. :)

Niet dat ik zeg dat die man dat had moeten doen, zou natuurlijk niet vrij moreel zijn.
Hoe is dit diefstal? Kan je dat uitleggen? Ik zie hier namelijk totaal geen diefstal.
"Dat zijn deftige prijzen

Als je weet wat je doet kon je hier veel meer mee verdienen."

Dat duidt toch op een iets minder nette methode?

[Reactie gewijzigd door jetspiking op 9 november 2018 22:39]

Mijn interpretatie was dat daarmee werd bedoeld dat de beloningen die de onderzoeken kreeg niet laag waren en iemand die dus goed is in dit soort veiligheidslekken opsporen hier op die manier aardig wat mee kan verdienen.

Dit vind ik totaal niet als diefstal klinken.

Wellicht was jouw interpretatie dat er gehint werd op misbruik maken van het lek en keys verkopen? Dan zou ik het volledig met je eens zijn namelijk.
Absoluut niet netjes, mogelijk zelfs illegaal, maar het is geen diefstal :)
Dat is één van de mogelijke inkomsten van een ethical hacker
Vraag me af of er ook daadwerkelijk mensen zijn die hiervan wisten en het misbruikt hebben.

Beetje offtopic:
Wie een hekel heeft aan de nieuwe interface voor vrienden kun je nu tijdelijk -steamos gebruiken. -nofriendsui en -nochatui werken niet meer.
Oh? Die parameters werken hier anders nog prima?

Ja idd hier ook hekel aan die nieuwe interface ;-)

[Reactie gewijzigd door Marctraider op 9 november 2018 19:31]

Niet meer sinds vandaag of zo als je de Steam update krijgt.
Zou 36000 iets met portal te maken kunnen hebben? Ik bedoel, ik vind het een apart aantal. Mis ik een reference?

36000 - 35997 = 3 == half life 3 confirmed?

[Reactie gewijzigd door TheNymf op 9 november 2018 19:26]

Je bent dik in de min gezet, maar stiekem moest ik wel gribneken om je post ;)
Met -steamos kom ik alleen niet meer in de Steam overlay (Alt + Tab) om mijn vriendenlijst te openen.
Tenminste, in Insurgency.

[Reactie gewijzigd door jesco_white op 9 november 2018 19:25]

Dit klopt volgens mij wel ja, las het ook her en der online.
Dat is helaas kiezen of delen.
Laten we hopen dat het generiek is want de enige keer dat ik daarin terecht kom is per ongeluk :+
Het zou pas echt leuk zijn geweest als ze hem als dank een gratis key voor Portal 2 hadden gegeven :+
Denk dat de keys toch wel onbruikbaar gemaakt zijn nu....
Ben ik de enige die ¤20.000,- dan belachelijk weinig vind?
Dit is een kwetsbaarheid die Valve erg veel geld had kunnen kosten.
Niet bepaald. Steam was hier toch wel achter gekomen en konden dan de keys intrekken.
20k voor het vinden van een exploit is toch een redelijk bedrag, hoor.
De beloning is voor verricht werk, en dat is snel verdiend.


Om te kunnen reageren moet je ingelogd zijn


Apple iPhone XS Red Dead Redemption 2 LG W7 Google Pixel 3 XL OnePlus 6T (6GB ram) FIFA 19 Samsung Galaxy S10 Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2018 Hosting door True