Steamにて「無限にアクティベーションキーを生成できる」という不具合を見つけたユーザー、Valveに報告し230万円を手に入れる
とあるユーザーがSteamの不具合を発見し、Valveから2万ドル(約230万円)の報奨金を受け取ったことが、脆弱性報告サイトHackerOneなどを通じて明らかになった。ユーザーの名はArtem Moskowsky氏。Steamの開発者向けポータルサイトにて、とある不具合を見つけて報告をしたことにより、その報酬として多額のお金を受け取ったという。不具合とは、Steamのアクティベーションキーを“無限に”生成できるものだったようだ。その詳細を、the Registerなどが伝えている。
Moskowsky氏は、学校でセキュリティ・リサーチを学んで以来、その知識を使いプロのバグハンターやペンテスターとして活動しており、脆弱性やセキュリティの問題を報告することで生計を立てきたという。そんな氏は、Steamのデベロッパー向けサイトをながめている最中にAPIリクエストのパラメータをいじることで、容易にアクティベーションキーを生成できることに気付く。これはCDキーともよばれるもので、本来キーを生成し開発者が関係者やメディア向けに配るための機能であった。
氏によると、Steam Directにて申請するなど、なんらかの形でSteamの開発者ページにアクセスできれば、好きなようにゲームのアクティベーションキーを得られる状態であったとのこと。実際に600円で販売されている『Portal 2』のキーを3万6000個入手できたことも明かしている。いわゆる“鍵屋”などに流して儲けることも可能であったが、Moskowsky氏はHackOneにて報告をすることで、Valveが調査を進めて最終的には1万5000ドルを獲得。その後、ボーナスとして5000ドルをさらに手にした。氏はthe Registerに対し、Valveからの報奨はかなりいいところに落ち着いたとコメントし、Valveは報奨システムを使いバグハンターらをうまくハンドリングしていると称賛する。
Valveはしばらく前からHackOneにて脆弱性調査を呼びかけており、これまで数多く報奨金が支払われてきた(関連記事)。平均報奨金額は350ドルから500ドルで、2万ドルという額は破格。7月には深刻度9.9レベルの案件が報告され、2万5000ドルという最高額の報奨金が支払われていた。それを更新することは叶わなかったが、この件を報告したのもMoskowsky氏。ふたつの報告で、計4万5000ドルを獲得するという稼ぎっぷり。トラブルを回避したValveとしても、脆弱性を報告し報奨を得た氏としても、ハッピーな展開だろう。
Moskowsky氏が以前より、HackOneを介してValveと共に脆弱性を見つけるという関係性であることと、今回の不具合が悪用されなかったことは無関係ではないだろう。今回の一件は、HackOneがうまく機能していることを感じさせる事例であるといえる。なお、この脆弱性自体は8月に報告され、11月頭に諸々の手続きが終わり、はれて公開された形だ。具体的な手順なども記されているので、興味のある方は該当のHackOneページを見てみてはいかがだろうか。