Temukan Celah Keamanan Di Steam, Orang ini Diberi Hadiah Uang Sebesar Rp 296 Juta

Seorang peneliti keamanan telah diberikan penghargaan uang senilai $ 20.000 atau sekitar 296 jutaan karena ia telah menemukan kerentanan yang cukup berbahaya di Steam. Kerentanan yang ia temukan memungkinkan orang jahat untuk bisa menghasilkan kunci yang tidak terbatas pada game apa pun. Sehingga, jika itu berkembang secara liar, tentu Valve akan mengalami kerugian besar hingga jutaan dollar.

Hal tersebut diungkap oleh The Register, dimana peneliti keamanan tersebut bernama Artem Moskowsky dan mengatakan bahwa dia menemukan bug itu secara tidak sengaja. Dia telah menjelajahi portal pengembang Steam, yang digunakan oleh pembuat game untuk mengelola produk mereka. Interface program aplikasi (API) biasanya memungkinkan pengembang untuk menghasilkan kunci aktivasi untuk judul game, sehingga perusahaan dapat menggunakannya untuk diberikan kepada pengulas atau untuk promosi.

Disinilah, ia menemukan celah yang cukup mudah untuk mengubah parameter dalam permintaan API, terlebih lagi untuk mendapatkan kode untuk hampir semua game tanpa menghiraukan kepemilikan. Mereka yang memiliki akun pengembang dapat menghasilkan kunci sebanyak yang mereka inginkan untuk game apa pun yang dihosting di Steam. Kode aktivasi ini kemudian dapat diberikan atau dijual oleh individu lain di pasar gelap (atau secara terbuka).

“Untuk mengeksploitasi kerentanan, itu hanya perlu untuk membuat satu permintaan,” kata Moskowsky. “Saya berhasil melewati verifikasi kepemilikan game dengan mengubah hanya satu parameter. Setelah itu, saya bisa memasukkan ID apa pun ke dalam parameter lain dan mendapatkan serangkaian kunci. ” Dan ternyata, siapa pun yang memiliki akun di portal pengembang bisa mengakses kunci aktivasi permainan untuk game lain yang dihadiahkan Steam.

Dalam satu contoh ia memasukkan nomor acak ke dalam parameter dan menerima 36.000 kunci untuk Portal 2. Jika kunci-kunci ini berhasil dijual, Valve berpotensi memiliki kerugian hingga $ 360.000 atau sekitar 5.3 miliar dalam penjualan game.

Untungnya, Moskowsky memutuskan untuk melaporkan kerentanan itu kepada perusahaan pada tanggal 7 Agustus. Para insinyur dari Valve kemudian memverifikasi bug, menambalnya, dan tiga hari kemudian mereka memberikan hadiah sebesar $ 15.000 atau sekitar 200 jutaan kepada para peneliti, ditambah bonus $ 5.000 atau sekitar 74 jutaan, juga termasuk Artem Moskowsky

Moskowsky ternyata bukanlah orang baru yang berhasil mengungkap banyak kerentanan di Steam. Mengintip profil HackerOne-nya, ia juga ternyata pernah berhasil mengungkapkan banyak celah keamanan dalam tiga tahun terakhir ini. Tentu, orang sehebat dia perlu diberikan kompensasi lebih, karena jika dibandingkan dengan nilai kerugian yang bisa diakibatkan, uang sebesar 300 jutaan kurang bukanlah apa-apa.