Hacker odhalil další slabiny Steamu
Po loňském hacku Steamu a po úniku množství citlivých dat tu máme další zajímavou a pro mnohé možná i znepokojivou zprávu – nezletilý britský web developer jménem Ruby Nealon totiž způsobil malý poprask. Na Steam se mu podařilo protlačit vlastní titul, dokázal však přitom zcela obejít veškeré schvalovací procesy a na seznam her se mu podařilo dostat skrze zadní vrátka Steam Workshopu.
Samotný postup hacku si můžete přečíst zde. Na existenci takovéto bezpečnostní mezery by pak možná nebylo nic až tak neobvyklého – chyby zde vždy byly a budou a s narůstající komplexitou služeb i programů může stejnou měrou přibývat i chyb. V tomto konkrétním případě ale zaráží postoj, jaký následně zaujalo samotné Valve.
Nealon navíc dodává, že na případ vlastní hry na Steamu upozorňoval Valve celé měsíce.
Nealon se nechal slyšet, že ke svému exploitu využil řadu takřka školáckých chyb, jež Valve zanechalo na svých webových stránkách. Dané přešlapy samozřejmě byly obratem opraveny, nicméně na konto webu Steamu Nealon dodává, že ten snad nebyl v určitých ohledech aktualizován celá léta a je jen otázkou, kdy někdo další objeví další a potenciálně mnohem závažnější chyby.
To samo o sobě budí otázky, nicméně je to právě avizovaný postoj Valve, jenž vzbuzuje spíše obavy. Nealon se totiž hledáním podobných chyb a exploitů zabývá delší dobu, v případě Steamu však narazil, neboť jej údajně nikdo příliš neposlouchal. Sotva pár dní po této nahlášené chybě navíc Nealon objevil a zveřejnil chybu další. I ta byla hbitě opravena.
Jenže Nealon navíc dodává, že na případ možnosti vlastní hry na Steamu upozorňoval Valve celé měsíce, chyba byla ale opravena až v momentě, kdy svůj produkt a především postup zveřejnil. Až tehdy prý Valve nějak zareagovalo a chybu opravilo, a to je přeci problém. Je nad slunce jasné, že ne každý podobný hacker nebo zkrátka jen šikovnější programátor bude na chyby v dobré víře upozorňovat.
Britský mladík si tím zároveň stěžuje na to, že tak obrovská platforma, jakou Steam bezesporu je, nemá žádnou veřejnou soutěž na hledání chyb podobnou těm, jaké mají například v Googlu či na Facebooku. Nealon se tedy dušuje, že se raději bude věnovat těm společnostem, které jeho práci dokáží ocenit a které na jeho poznatky budou dbát.
A tomu se nelze samozřejmě divit – je ale s podivem, že by se zástupci Valve vůbec takovýmto způsobem chovali. Pokud ale na tom něco pravdy bude, tak by se ze Steamu mohla časem vyklubat celkem povedená časová bomba, co říkáte?
