
לפני כמה ימים עלה לחנות הוירטואלית סטים (Steam) משחק מוזר למראה שנקרא Watch Paint Dry: The Game. מה שעושים במשחק הוא בדיוק כפי ששמו רומז – צופים בצבע מתייבש במשך כמה דקות. באופן טבעי, הגולשים חשבו שזו מתיחה לקראת האחד באפריל שהקדימה את זמנה. מתברר שהגולשים חצי צדקו – זו אכן מתיחה, אך יש מאחוריה תכלית.
כל המתיחה הזו בושלה על ידי רובי נילסון (Ruby Nealson), חוקר בריטי לאבטחת מידע. נילסון דיווח ל-Valve, החברה האחראית על החנות, על חור אבטחה שמאפשר בפוטנציה לאנשים להכניס לחנות משחקים ללא פיקוח. לאחר ש-Valve, לטענתו לפחות, התעלמה לחלוטין מאזהרותיו החוזרות ונשנות בנושא, הוא החליט ללמד אותה לקח בדרך הקשה.
"האתר של Steamworks ברובו בנוי על AJAX", מסביר נילסון את התהליך. "כל הקוד לפונקציות של Javascipt אינו קריא על ידי בני אדם, אבל מצאתי פונקציה שנקראת 'ReleaseGame(appid, data)'. הפונקציה שולחת בקשת AJAX רגילה, ללא צורך באיזשהו אישור, אל סטים ופשוט משחררת את התוכנה לרכישה בחנות".
המתיחה הצליחה מעבר למתוכנן
"אני מודה שהופעתי מההופעה המיידית של 'המשחק' במדור המשחקים החדשים שזה עתה יצאו", כתב נילסון. "רציתי לשמור אותו שיופיע לא לפני יום שישי, האחד באפריל".
אם אתם כבר רצים אל האתר של סטים ומנסים להחדיר לחנות הוירטואלית מתיחות משלכם, תיאלצו לגנוז את התכניות. מאז תקרית המתיחה, נילסון קיים, סוף סוף, קשר רציף עם Valve בנושא וחור האבטחה כבר נסגר. זו כנראה גם הסיבה שנילסון הרגיש בנוח לחשוף את התהליך שעמד מאחורי פרצת האבטחה הזו.
Join the Conversation