Co by było, gdyby znaleźć sposób na generowanie na Steamie kluczy, służących do odblokowywania gier? Niejaki Artem Moskowsky z Ukrainy nie musiał się zastanawiać - znalazł błąd w oprogramowaniu Valve, dzięki któremu mógł za darmo pobrać tysiące kluczy, dla dowolnego tytułu.
Co zrobił Moskowsky, opisujący się na swojej oficjalnej stronie jako "łowca błędów"? Czy rozpoczął sprzedaż i pławi się teraz w luksusach? Nie, badacz dokładnie opisał problem i wyniki swoich eksperymentów wysłał do Valve. Dzięki temu firma z Seattle mogła załatać usterkę.
Zgubne są wasze nadzieje - nie warto się śpieszyć, ponieważ błąd został już załatany. Został ujawniony właśnie teraz, ponieważ zakończono prace nad stosowną aktualizacją, a Moskowsky otrzymał od Valve standardową nagrodę za znalezienie poważnego błędu - 20 tysięcy dolarów.
Jak się okazało, sposób na generowanie kluczy odblokowujących gry nie był wyjątkowo skomplikowany. Nieco błędne jest także tłumaczenie, że to właśnie badacz "generował" klucze - po prostu uzyskiwał dostęp do tych, które zostały już wygenerowane, ale jeszcze nie udostępnione.
Jak to działa? Wydawca lub deweloper generuje "na zapas" jakąś pulę kluczy - kilka tysięcy czy nawet milionów. Gdy gracz wchodzi na Steam i kupuje dany tytuł, otrzymuje jeden klucz z tej puli, a tytuł jest przypisywany do jego konta i określony kod znika z puli wygenerowanych kluczy.
Moskowsky dostrzegł, że wystarczyło wpisać w przeglądarce internetowej steamowy adres z rozszerzeniem "/partnercdkeys/assignkeys/", a następnie dodać do URL dane określonego dewelopera. W ten sposób "łowca błędów" otrzymywał dostęp do całej puli nieprzypisanych jeszcze kluczy.
Błąd został zgłoszony już 7 sierpnia tego roku, ale łatki i rozwiązania doczekał się dopiero po koniec października. Widocznie Valve musiało wprowadzić dość znaczące modyfikacje w swoim systemie oraz zabezpieczeniach.
Sam Moskowsky zawodowo zajmuje się kwestią bezpieczeństwa w sieci i wydaje się, że na główny cel "eksperymentów" obrał sobie właśnie Valve. W lipcu za zgłoszenie jeszcze poważniejszego - choć zapewne znacznie mniej medialnego - błędu otrzymał 25 tysięcy dolarów nagrody od firmy z Seattle.