Steam平臺的熱門游戲非常多，這么多年下來賺的錢自然就更多了，但即便是這樣一個大的游戲平臺，也逃避不了各種漏洞，一些黑客就是喜歡找到這些平臺的漏洞，Steam在全段時間出現(xiàn)了一次漏洞，被黑客發(fā)現(xiàn)之后還獎勵了對方。

比如在今年 8 月前，Steam 上其實一直有免費獲得游戲的 BUG。該 BUG 還是被一個自稱「BUG 獵人」的黑客發(fā)現(xiàn)的，他還因為這個掙了 2 萬美金。

不過這個掙錢的方法，肯定不是以你想象的方式……

Valve 和黑客的戰(zhàn)斗由來已久，可能是發(fā)現(xiàn)堵不如疏，今年五月，他們開始公開「招安」黑客：在一個叫 HackerOne 的平臺上運行他們的漏洞賞金計劃。

在 HackerOne 上，沒有門檻或者需要你有什么資格證明，只要你能有實力提供系統(tǒng)漏洞，那你就有錢賺。Valve 在賞金計劃里，把漏洞分為四個檔次：嚴重、高、中、低，每種檔次的賞金也有各自的標準，比如低檔的漏洞最高能給 200，而檔次為嚴重的漏洞最低賞金 1500，最高沒有上限。

自從這個賞金計劃開始，手提各式系統(tǒng)漏洞前來領賞的黑客就沒斷過。累計至今 Valve 已經(jīng)撒出去 46 萬美金了，其中主力還是給不斷涌現(xiàn)的小漏洞付的較低額賞金，而高賞金的倒也偶爾能見到。

而免費拿游戲的這個漏洞，就是高賞金中的一個。「BUG 獵人」莫斯科夫斯基在今年八月就發(fā)現(xiàn)了一個嚴重的漏洞，獲得了 Valve 的高額 2 萬美元獎金。這個漏洞在這個月剛剛公開，利用了一個 Steam 開發(fā)者工具的問題：開發(fā)商或者發(fā)行商可以調用 Steam API 來獲得激活碼 —— 當然是自己的游戲，但是如果將需要的激活碼數(shù)量調為 0，那就能繞開限制獲得其他公司的激活碼，甚至沒有數(shù)量限制。

Hackerone 上這個漏洞的記錄

而這意味著在今年 8 月前，其實誰都可以偷偷摸摸在 Steam 上竊取任何游戲的激活碼，甚至不限量。而發(fā)現(xiàn)這個漏洞的莫斯科夫斯基如果保持低調，神不知鬼不覺的偷拿幾個游戲，那被發(fā)現(xiàn)的概率也很低。幾乎等于終身免費玩 Steam 上游戲的權利了。

不過莫斯科夫斯基倒是沒有遮遮掩掩，據(jù)他所說他利用這個漏洞一次性獲取了 36000 個《傳送門 2》的激活碼，然后把這個漏洞提交給 Valve了。

這么一個嚴重性高的漏洞這么多年竟然沒被發(fā)現(xiàn)過，如果被心懷不軌的人利用不知道能引起多大的負面影響。不過萬幸的是，根據(jù) Valve 調查表示，目前沒有發(fā)現(xiàn)該漏洞實際被濫用的證據(jù)。

雖然據(jù)莫斯科夫斯基所說，這是在探索 Web 應用程序的功能時隨機發(fā)現(xiàn)的，但整件事也不是絕對的偶然。他作為 BUG 獵人，自上學開始就在進行網(wǎng)絡安全方面的研究。過去的幾年里，一直專注于這種懸賞。

根據(jù)他最近幾個月的記錄，不難看出莫斯科夫斯基一直在專注于在 Steam 平臺上撈金。

而且 2 萬美金還不是他從 Valve 上拿到的最高一筆，在此前他還因為發(fā)現(xiàn)了一個 SQL 注入漏洞獲得兩萬五美金的獎勵，這也是 Valve 給出的過的最高一筆獎金。

不過這么對比一看，顯得這回「能隨意獲得免費游戲漏洞」的 2 萬獎勵似乎有點少了，莫斯科斯基在網(wǎng)上也抱怨過：

那么問題來了，如果換做是你，在無限免費玩游戲和變現(xiàn)的誘惑下，你會選擇向 Valve 提交，堵上了這個有利可圖的潛在漏洞嗎?