Steam’de tüm oyunların CD anahtarlarına erişim sağlayan hata bulundu

Steam’de yer alan tüm oyunların CD anahtarlarına diğer adıyla aktivasyon anahtarlarına erişim sağlayan bir hata bulundu, hata güvenlik araştırmacısının bildirmesiyle hemen kapatıldı.

Valve’ın geliştiricilerin Steam oyun istemcisi üzerinden oyun oluşturabilmelerini ve yayın yapabilmelerini sağlayan platformu Steamworks’de bulunan hata Artem Moskowsky adlı güvenlik araştırmacısı tarafından geçtiğimiz ağustos ayında bulundu. Moskowsky, hatayı Steam Web API’sinde yer alan partner.steamgames.com/partnercdkeys/assignkeys/ kısmında buldu.

Bu API, oyun geliştiricilerinin ya da bağlı kuruluşların Steam kullanıcılarına sağlanan CD anahtarlarını almalarını sağlıyor. Böylece geliştiriciler Steam istemcisi üzerinden yüklenen oyunları etkinleştirebiliyorlar.

Bu API’ye normal bir Steam hesabı ve birkaç parametre kullanılarak erişilebiliyor. Appid (oyun), keyid (cd anahtarı ya da tanımlayıcı) ve keycount (anahtar sayısı) en önemli parametreler arasında yer alıyor. Moskowsky’ye göre normal şartlar altında kendisine ait olmayan bir oyun anahtarını almaya çalıştığında Steam API’sinin kendisine bir hata vermesi gerekiyor. Normalde de süreç bu şekilde işliyor. Ancak keycount parametresini “0” yaptığında API’nin sınırlamaları ortadan kalkıyor ve istenilen oyunun CD anahtarı alınabiliyor.

Moskowsky, hatayı Steam’e bildirmeden önce yaptığı denemelerde Portal 2 oyununa ait 36 binin üzerinde CD anahtarını indirebilmiş. Ağustos ayında HackerOne ödül programı dahilinde hatayı Valve’e bildirmiş ve hata hemen düzeltilmiş.