所有CD密鑰均可下載！Steam平臺被曝曾出現(xiàn)重大Bug

　　11月9日消息 作為目前全球最大的綜合性數(shù)字發(fā)行平臺之一，Steam平臺在世界各地都擁有大量的忠實粉絲！但據(jù)外媒最新消息顯示，有一位烏克蘭漏洞研究員在該平臺中發(fā)現(xiàn)了一個允許下載平臺上所有游戲激活密鑰（也稱為CD密鑰）的Bug。

　　據(jù)悉，該漏洞由網(wǎng)絡(luò)安全人員Artem Moskowsky發(fā)現(xiàn)，存在于Steamworks中，該平臺是Valve幫助開發(fā)人員通過其Steam游戲客戶端構(gòu)建和發(fā)布游戲的平臺，Moskowsky在位于partner.steamgames.com/partnercdkeys/assignkeys/的Steam網(wǎng)絡(luò)API中發(fā)現(xiàn)了該漏洞。這是一個API，允許游戲開發(fā)商或附屬公司檢索可供Steam用戶使用的CD密鑰，以便他們的用戶可以激活通過Steam客戶端安裝的游戲。

　　Moskowsky說，在正常情況下，當(dāng)他試圖檢索他沒有擁有的游戲的CD密鑰時，Steam的API給了他一個錯誤，這是正常的。但他發(fā)現(xiàn)，通過將keycount參數(shù)設(shè)置為“0”，他可以繞過API的限制并檢索屬于任何游戲的CD密鑰的文件，即使用戶不應(yīng)該訪問該游戲的CD密鑰集合。在通知Steam之前，他測試發(fā)現(xiàn)，能夠得到Portal 2游戲的36，000個CD密鑰。

　　此外，他還意識到攻擊者可以瀏覽所有Steam游戲ID并下載所有CD密鑰，因為appid和keyid參數(shù)很容易猜到。

　　值得慶幸的是，Moskowsky通過Valve的HackerOne bug賞金平臺向Valve報告了該漏洞，并獲得了20000美元的獎勵，這也是Steam平臺迄今為止支付的最大漏洞獎金之一！至于是否有其他人在Moskowsky之前曾發(fā)現(xiàn)或利用過這個漏洞，目前還不得而知。