خلل في المنصةبخارتم تسليط الضوء عليه بطريقة مبتكرة للغاية منذ أن استخدمه مراهق يبلغ من العمر 16 عامًا لتثبيت لعبته على الموقع دون موافقة Valve. إنجاز نفصله لكم.
هاكر صادق
قام Ruby Nealon بالأمور بشكل جيد لأنه قبل اختراق Steam، أرسل الشاب البالغ من العمر 16 عامًا عدة رسائل بريد إلكتروني إلى Valve للتحذير من حدوث خرق أمني. للأسف،جميع الرسائل لم يتم الرد عليها. في مواجهة هذا الصمت، قرر الشاب التحرك من خلال تثبيت لعبة مزيفة على المنصة.كل ذلك دون المرور بإجراءات الاعتماد اللازمة عادةً ودون دفع 100 دولار مما يسمح لك بتقديم العناوين على Greenlight. اللعبة تسمىشاهد الطلاء وهو يجف، يستمر 45 ثانية فقط وكان قبل كل شيء ذريعة لإثبات الخلل. لم يستغرق الأمر سوى بضع ساعات حتى تصل ردود الفعل الأولى من المستخدمين ولكي يقوم Valve بتقييم المشكلة.
"لقد كنت سعيدًا بردود فعل الناس. كان الناس منزعجين من هذا الأمر وأردت منهم أن يتحدثوا عنه. أردت أن يدرك الناس أن هذا هو أحد أكبر المواقع على الإنترنت وأنه واجهة خلفية. عمره 16 عامًا- يقول روبي: "لقد فعل ذلك في ليلتين".
إعداد بسيط إلى حد ما ...
روبي تشرح بالتفصيل خطوات اختراقها. وهكذا نعلم أنه تمكن من استعادة Steamworks، الأداة المستخدمة للتحضير لتكامل اللعبة على Steam. ومن ثم، يلزم الحصول على ترخيص من ثلاث خطوات: ورقة المنتج، والنسخة النهائية المقدمة، ثم التحقق النهائي. من خلال تعديل كود مصدر Steamworks، جعل المتسلل الشاب شركة Steam تعتقد أن ورقة المنتج الخاصة بها تم إعدادها من خلال منحها القيمة المقابلة للمنتجات التي تم التحقق من صحتها.من خلال استبدال المعرفات، تنتهي اللعبة تلقائيًا على النظام الأساسي كما لو أنها اجتازت جميع التفويضات.
.. لخبير
إذا كانت العمليات تبدو بسيطة للغاية، نود أن نذكرك أن روبي عبقري قليلاً منذ أن دخل الجامعة في سن الرابعة عشرة وأنلقد استمتع بالعثور على الثغرات الأمنية في أكبر المواقع منذ أن كان عمره 11 عامًا. لقد اكتشف بالفعل عيوبًا في Microsoft أو Corsair. وعن رد فعل فالف يقول الشاب إنه محبط:
"لم يقتصر الأمر على أنهم لم يقدموا لي مكافأة مثلما كانت ستفعلها Google، ولكنهم أيضًا لا يريدون وضعي على صفحة الشكر المتعلقة بالأمان الخاصة بهم، لأنه على ما يبدو مخصص فقط للأشخاص الذين يرسلون الأخطاء بشكل منتظم. لا أريد أن أبدو وكأنني أتذمر من الهراء المجاني، ولكن لو كان Google [...] لديه نفس النوع من الثغرة الأمنية، لكانوا قد دفعوا. لكن فالف لم يقدم لي أي شيء. أنا لست منزعجًا، ولكنني محبط بعض الشيء، نظرًا لحجم شركة مثل Valve [...] من خلال عدم تقديم مكافأة، فإنك تفوت مئات الأشياء التي تمر دون أن يلاحظها أحد ويمكن حتى استغلالها الآن من قبل الأشخاص الخطأ، وذلك ببساطة لأن الباحثين لا يريدون قضاء بعض الوقت في عمل لا يدر أجرًا".
ينتهي الأمر بـ Valve بالقيام بلفتة هزيلة
قررت الشركة في النهاية ترك حساب الناشر الخاص بـ Ruby Nealon نشطًا حتى تتمكن من مواصلة البحث عن العيوب.لاحظ أنه قد عثر بالفعل على خطأين آخرين وسيكشف عنهما عندما يتم إصلاحهما.ضعف من حيث الأمان وهو أبعد ما يكون عن طمأنة المستخدمين والشركة نفسها التي من الأفضل أن تعمل بجدية أكبر لتأمين منصتها بشكل أكبر.
