News - Steam : Skurriler Bug lieferte Keys für alle Spiele!

    Von Kommentieren

    Valves Distributionsplattform Steam hat sich längst als Standard im PC-Bereich etabliert und ist entsprechend beliebt. Spieler hegen und pflegen ihre Spielebibliotheken - und ein skurriler Bug hätte nun dafür sorgen können, dass ihr dieser jedes beliebige Spiel hättet hinzufügen können.

    Ein Sicherheitsforscher aus der Ukraine hat bei Steam einen durchaus skurrilen Fehler ausfindig gemacht, der es ihm erlaubte, die Aktivierungs-Keys für alle bei Steam verfügbaren Inhalte herunterzuladen. Auf diesem Weg wäre es also möglich gewesen, ohne Einsatz von Geldern sich wirklich jedes auf Steam verfügbare Spiel zu sichern.

    Artem Moskowsky machte den besagten Bug in der Steamworks-Plattform ausfindig. Diese stellt Valve zur Verfügung, um Entwicklern dabei behiflich zu sein, eigene Titel über den Steam Gaming-Client aufzubauen und zu veröffentlichen. Unter anderem können Firmen auf diesem Weg Keys für ihre Titel beziehen, um diese der Presse, Partnern oder Spielern zur Verfügung zu stellen.

    Die dafür notwendige Web-API ist mit der Nutzung eines regulären Steam-Accounts möglich und verwendet zum Datenabgleich verschiedene Parameter. Keys für den vollständigen Zugang zu einem Spiel werden demnach nur an den Nutzer ausgegeben, der das Spiel auch tatsächlich bei Steam eingestellt hat - so zumindest die Theorie. Damit würde ausgeschlossen, dass keine Zugangs-Keys für Spiele anderer Hersteller abgerufen werden können, denn hier gibt es sonst nur eine Fehlermeldung.

    Der Fehler lag im Detail: Stellte man nämlich die Anzahl der Keys für ein fremdes Produkt auf "0" konnten die Limitierungen der der Web-API umgangen werden. Fehlerhaft hätte man auf diesem Weg einen Key für fremde Spiele erhalten können.

    Während seiner Tests habe  Moskowsky laut eigenen Angaben beispielsweise über 36.000 Keys für Portal 2 generieren und herunterladen können. Im weiteren Verlauf habe er dann auch festgestellt, dass ein mutmaßlicher Angreifer alle Game-IDs bei Steam hätte durchgehen und alle möglichen Keys hätte herunterladen können.

    Der Sicherheitsforscher ist ein ehrlicher Mensch und hat Valve den Bug im August gemeldet; dazu hat er die HackerOne-Plattform genutzt. Innerhalb von Tagen habe Valve den Fehler anschließend behoben, an die Öffentlichkeit gehen durfte er dennoch erst jetzt. Ob den Bug außer Moskowsky noch jemand anderes ausfindig gemacht und ausgenutzt hat, ist nicht bekannt. Für seine Mitteilung an den Betreiber der Plattform hat er indes eine Belohnung von 20.000 US-Dollar erhalten.

    Drei Spiele im Fokus - Steam-Early-Access-RoundUp
    Im Early-Access-Bereich auf Steam gibt es massenhaft Spiele, wir haben mal drei aktuelle Highlights für euch rausgesucht.

    Könnte dichinteressieren

    Kommentarezum Artikel