網友發現Steam無限印序號的漏洞 Valve獎勵他2萬美元

在今年八月時，一位網路安全研究員Artem Moskowsky在Valve給開發人員使用的Steamworks上發現了一個非常嚴重的漏洞，只要通過這個漏洞，任何人都可以產生任何遊戲的序號。Moskowsky發現後立即告知Valve這個漏洞，還獲得了2萬元獎金作為獎勵。

這個漏洞存在於Steamworks上的API，原本是方便遊戲開發商可以管理自己所屬遊戲的序號，並允許購買的玩家能正常安裝遊戲。但Moskowsky發現只要修改特定參數，就可以繞過限制，即便不是自己管理權限遊戲也能產生序號隨意使用。

一開始，Moskowsky先嘗試利用傳送門2（Portal2）幫自己產生了3萬6千份序號，進一步測試後，發現其他遊戲他都能無限制地產生序號。能夠玩遍Steam上所有遊戲，對許多人來說應該是夢寐以求的事情，但Moskowsky則是誠實地在今年8月7日於HackerOne上回報了這個漏洞，隨後收到Valve了高達2萬美金的酬謝。

這個漏洞也很快地被Valve修復，經過檢測後也沒有發現被濫用的情況，近日才對外公開這個消息。事實上在此之前，Moskowsky也曾發現Steamworks另一個安全漏洞，則收到了2萬5的獎金，顯見還有比起無限複製遊戲更嚴重的事情。

不過Steam畢竟家大業大，維護起來也越來不容易，之前也有消息指出有人假裝獨立遊戲開發商濫用資源，Valve現在除了審核遊戲內容，還需要嚴防被有心人士濫用。不過這都不是一般玩家需要操心的事，大家還是先把各大特賣時堆積在收藏庫中的遊戲清理乾淨再說吧。