Steam của Valve là nền tảng phát hành game lớn nhất thế giới hiện nay. Tại Hội Nghị Các Nhà Phát Triển Game 2018 (GDC 2018), SteamSpy cho biết trong năm 2017 Steam đã phát hành tổng cộng 21.000 game, với doanh thu khoảng 4,3 tỷ USD, đó là chưa kể đến các bản cập nhật DLC của từng tựa game.
Vậy mà nền tảng Steam của Valve lại tồn tại một lỗ hổng bảo mật vô cùng nghiêm trọng. Lỗ hổng này cho phép lấy được CD key của tất cả các tựa game trên Steam. Có nghĩa là bạn có thể tải bất kỳ tựa game nào về mà không mất một đồng nào.
Trên diễn đàn Hackerone, một lập trình viên có nickname "Moskowsky" cho biết anh đã phát hiện ra lỗ hổng bảo mật này của Steam. Bài viết của Moskowsky nhanh chóng nhận được rất nhiều sự quan tâm của thành viên diễn đàn.
Thành viên Moskowsky của Hackerone cho biết anh đã phát hiện một lỗ hổng bảo mật vô cùng nghiêm trọng của Steam.
Moskowsky cho biết anh đã báo cáo lỗ hổng bảo mật này cho Valve vào tháng 8, sau đó anh thông báo việc phát hiện lỗ hổng bảo mật trên diễn đàn Hackerone. Tất nhiên Moskowsky không tiết lộ chi tiết về lỗ hổng bảo mật này, cũng như cách thức lợi dụng đấy lấy CD key của bất kỳ tựa game nào.
Tuy nhiên, Moskowsky cho biết lỗ hổng bảo mật tồn tại trên trang partner.steamgames.com, trang web của Steam dành cho các nhà phát triển và phát hành game. Moskowsky cũng ấn định thời điểm công bố thông tin về lỗ hổng bảo mật vào ngày 1 tháng 11, nếu như Valve không có bất kỳ động thái khắc phục nào.
Valve xác nhận lỗ hổng bảo mật này.
Ngay sau khi bài viết này được chia sẻ, Valve đã đánh lại và quyết định thưởng cho Moskowsky vì phát hiện của anh. Valve cũng có phản hồi chính thức, xác nhận trang partner.steamgames.com có lỗ hổng cho phép người dùng có thể tải xuống các CD key của những tựa game mà họ không có quyền truy cập.
Điều đáng nói đây là một lỗ hổng bảo mật vô cùng nghiêm trọng, có thể gây ra thiệt hại rất lớn cho Steam nếu bị công bố rộng rãi. Bởi bất kỳ ai cũng có thể tải về toàn bộ game trên Steam mà không mất một đồng nào.
Thế nhưng Valve tỏ ra khá keo kiệt khi chỉ thưởng cho Moskowsky số tiền là 20.000 USD (khoảng 460 triệu đồng). Số tiền này được các lập trình viên đánh giá là tương đối thấp so với một lỗ hổng vô cùng nghiêm trọng của Steam mà Moskowsky đã phát hiện ra.