玩家長(zhǎng)期被STEAM清空錢包，但黑客們也以各種形式掏Valve的口袋。

樹大招風(fēng)，自Steam平臺(tái)成立以來(lái)，就不斷有好事之人或者惡意攻擊者希望能找到平臺(tái)的漏洞，幾乎成了Valve和各國(guó)黑客們的戰(zhàn)場(chǎng)。

比如在今年8月前，Steam上其實(shí)一直有免費(fèi)獲得游戲的BUG。該BUG還是被一個(gè)自稱“BUG獵人”的黑客發(fā)現(xiàn)的，他還因?yàn)檫@個(gè)掙了2萬(wàn)美金。

不過(guò)這個(gè)掙錢的方法，肯定不是以你想象的方式……

Valve和黑客的戰(zhàn)斗由來(lái)已久，可能是發(fā)現(xiàn)堵不如疏，今年五月，他們開始公開“招安”黑客：在一個(gè)叫HackerOne的平臺(tái)上運(yùn)行他們的漏洞賞金計(jì)劃。

在HackerOne上，沒(méi)有門檻或者需要你有什么資格證明，只要你能有實(shí)力提供系統(tǒng)漏洞，那你就有錢賺。Valve在賞金計(jì)劃里，把漏洞分為四個(gè)檔次：嚴(yán)重、高、中、低，每種檔次的賞金也有各自的標(biāo)準(zhǔn)，比如低檔的漏洞最高能給200，而檔次為嚴(yán)重的漏洞最低賞金1500，最高沒(méi)有上限。

自從這個(gè)賞金計(jì)劃開始，手提各式系統(tǒng)漏洞前來(lái)領(lǐng)賞的黑客就沒(méi)斷過(guò)。累計(jì)至今Valve已經(jīng)撒出去46萬(wàn)美金了，其中主力還是給不斷涌現(xiàn)的小漏洞付的較低額賞金，而高賞金的倒也偶爾能見(jiàn)到。

而免費(fèi)拿游戲的這個(gè)漏洞，就是高賞金中的一個(gè)?！癇UG獵人”莫斯科夫斯基在今年八月就發(fā)現(xiàn)了一個(gè)嚴(yán)重的漏洞，獲得了Valve的高額2萬(wàn)美元獎(jiǎng)金。這個(gè)漏洞在這個(gè)月剛剛公開，利用了一個(gè)Steam開發(fā)者工具的問(wèn)題：開發(fā)商或者發(fā)行商可以調(diào)用Steam API來(lái)獲得激活碼——當(dāng)然是自己的游戲，但是如果將需要的激活碼數(shù)量調(diào)為0，那就能繞開限制獲得其他公司的激活碼，甚至沒(méi)有數(shù)量限制。

Hackerone上這個(gè)漏洞的記錄

而這意味著在今年8月前，其實(shí)誰(shuí)都可以偷偷摸摸在Steam上竊取任何游戲的激活碼，甚至不限量。而發(fā)現(xiàn)這個(gè)漏洞的莫斯科夫斯基如果保持低調(diào)，神不知鬼不覺(jué)的偷拿幾個(gè)游戲，那被發(fā)現(xiàn)的概率也很低。幾乎等于終身免費(fèi)玩Steam上游戲的權(quán)利了。

不過(guò)莫斯科夫斯基倒是沒(méi)有遮遮掩掩，據(jù)他所說(shuō)他利用這個(gè)漏洞一次性獲取了36000個(gè)《傳送門2》的激活碼，然后把這個(gè)漏洞提交給Valve了。

這么一個(gè)嚴(yán)重性高的漏洞這么多年竟然沒(méi)被發(fā)現(xiàn)過(guò)，如果被心懷不軌的人利用不知道能引起多大的負(fù)面影響。不過(guò)萬(wàn)幸的是，根據(jù)Valve調(diào)查表示，目前沒(méi)有發(fā)現(xiàn)該漏洞實(shí)際被濫用的證據(jù)。

雖然據(jù)莫斯科夫斯基所說(shuō)，這是在探索Web應(yīng)用程序的功能時(shí)隨機(jī)發(fā)現(xiàn)的，但整件事也不是絕對(duì)的偶然。他作為BUG獵人，自上學(xué)開始就在進(jìn)行網(wǎng)絡(luò)安全方面的研究。過(guò)去的幾年里，一直專注于這種懸賞。

根據(jù)他最近幾個(gè)月的記錄，不難看出莫斯科夫斯基一直在專注于在STEAM平臺(tái)上撈金。

而且2萬(wàn)美金還不是他從Valve上拿到的最高一筆，在此前他還因?yàn)榘l(fā)現(xiàn)了一個(gè)SQL注入漏洞獲得兩萬(wàn)五美金的獎(jiǎng)勵(lì)，這也是Valve給出的過(guò)的最高一筆獎(jiǎng)金。

不過(guò)這么對(duì)比一看，顯得這回“能隨意獲得免費(fèi)游戲漏洞”的2萬(wàn)獎(jiǎng)勵(lì)似乎有點(diǎn)少了，莫斯科斯基在推特上也抱怨過(guò)：

那么問(wèn)題來(lái)了，如果換做是你，在無(wú)限免費(fèi)玩游戲和變現(xiàn)的誘惑下，你會(huì)選擇向Valve提交，堵上了這個(gè)有利可圖的潛在漏洞嗎？