Steam平臺(tái)的熱門(mén)游戲非常多，這么多年下來(lái)賺的錢(qián)自然就更多了，但即便是這樣一個(gè)大的游戲平臺(tái)，也逃避不了各種漏洞，一些黑客就是喜歡找到這些平臺(tái)的漏洞，Steam在全段時(shí)間出現(xiàn)了一次漏洞，被黑客發(fā)現(xiàn)之后還獎(jiǎng)勵(lì)了對(duì)方。

比如在今年 8 月前，Steam 上其實(shí)一直有免費(fèi)獲得游戲的 BUG。該 BUG 還是被一個(gè)自稱(chēng)「BUG 獵人」的黑客發(fā)現(xiàn)的，他還因?yàn)檫@個(gè)掙了 2 萬(wàn)美金。

不過(guò)這個(gè)掙錢(qián)的方法，肯定不是以你想象的方式……

Valve 和黑客的戰(zhàn)斗由來(lái)已久，可能是發(fā)現(xiàn)堵不如疏，今年五月，他們開(kāi)始公開(kāi)「招安」黑客：在一個(gè)叫 HackerOne 的平臺(tái)上運(yùn)行他們的漏洞賞金計(jì)劃。

在 HackerOne 上，沒(méi)有門(mén)檻或者需要你有什么資格證明，只要你能有實(shí)力提供系統(tǒng)漏洞，那你就有錢(qián)賺。Valve 在賞金計(jì)劃里，把漏洞分為四個(gè)檔次：嚴(yán)重、高、中、低，每種檔次的賞金也有各自的標(biāo)準(zhǔn)，比如低檔的漏洞最高能給 200，而檔次為嚴(yán)重的漏洞最低賞金 1500，最高沒(méi)有上限。

自從這個(gè)賞金計(jì)劃開(kāi)始，手提各式系統(tǒng)漏洞前來(lái)領(lǐng)賞的黑客就沒(méi)斷過(guò)。累計(jì)至今 Valve 已經(jīng)撒出去 46 萬(wàn)美金了，其中主力還是給不斷涌現(xiàn)的小漏洞付的較低額賞金，而高賞金的倒也偶爾能見(jiàn)到。

而免費(fèi)拿游戲的這個(gè)漏洞，就是高賞金中的一個(gè)?！窧UG 獵人」莫斯科夫斯基在今年八月就發(fā)現(xiàn)了一個(gè)嚴(yán)重的漏洞，獲得了 Valve 的高額 2 萬(wàn)美元獎(jiǎng)金。這個(gè)漏洞在這個(gè)月剛剛公開(kāi)，利用了一個(gè) Steam 開(kāi)發(fā)者工具的問(wèn)題：開(kāi)發(fā)商或者發(fā)行商可以調(diào)用 Steam API 來(lái)獲得激活碼 —— 當(dāng)然是自己的游戲，但是如果將需要的激活碼數(shù)量調(diào)為 0，那就能繞開(kāi)限制獲得其他公司的激活碼，甚至沒(méi)有數(shù)量限制。

Hackerone 上這個(gè)漏洞的記錄

而這意味著在今年 8 月前，其實(shí)誰(shuí)都可以偷偷摸摸在 Steam 上竊取任何游戲的激活碼，甚至不限量。而發(fā)現(xiàn)這個(gè)漏洞的莫斯科夫斯基如果保持低調(diào)，神不知鬼不覺(jué)的偷拿幾個(gè)游戲，那被發(fā)現(xiàn)的概率也很低。幾乎等于終身免費(fèi)玩 Steam 上游戲的權(quán)利了。

不過(guò)莫斯科夫斯基倒是沒(méi)有遮遮掩掩，據(jù)他所說(shuō)他利用這個(gè)漏洞一次性獲取了 36000 個(gè)《傳送門(mén) 2》的激活碼，然后把這個(gè)漏洞提交給 Valve了。

這么一個(gè)嚴(yán)重性高的漏洞這么多年竟然沒(méi)被發(fā)現(xiàn)過(guò)，如果被心懷不軌的人利用不知道能引起多大的負(fù)面影響。不過(guò)萬(wàn)幸的是，根據(jù) Valve 調(diào)查表示，目前沒(méi)有發(fā)現(xiàn)該漏洞實(shí)際被濫用的證據(jù)。

雖然據(jù)莫斯科夫斯基所說(shuō)，這是在探索 Web 應(yīng)用程序的功能時(shí)隨機(jī)發(fā)現(xiàn)的，但整件事也不是絕對(duì)的偶然。他作為 BUG 獵人，自上學(xué)開(kāi)始就在進(jìn)行網(wǎng)絡(luò)安全方面的研究。過(guò)去的幾年里，一直專(zhuān)注于這種懸賞。

根據(jù)他最近幾個(gè)月的記錄，不難看出莫斯科夫斯基一直在專(zhuān)注于在 Steam 平臺(tái)上撈金。

而且 2 萬(wàn)美金還不是他從 Valve 上拿到的最高一筆，在此前他還因?yàn)榘l(fā)現(xiàn)了一個(gè) SQL 注入漏洞獲得兩萬(wàn)五美金的獎(jiǎng)勵(lì)，這也是 Valve 給出的過(guò)的最高一筆獎(jiǎng)金。