Hacker tìm ra bug trên Steam giúp lấy key không giới hạn bất kỳ game nào, được trả 20.000 USD

Khi nói đến hacker, chúng ta thường nghĩ đến những nhân vật nấp dưới tầng hầm, “trùm chăn, tắt đèn, màn hình soi mặt” trong manga hoặc những người hùng gõ phím không cần nút Space trên phim ảnh. Họ lang thang trên internet như sân sau nhà mình, ra vào các server tuyệt mật của các ông lớn như đi chợ, đọc bất kỳ thứ gì mình thích và bán chúng lấy hàng triệu USD. Những cuộc đọ sức giữa hacker với nhau là cuộc đua xem ai gõ nhanh hơn, với những giao diện hào nhoáng trên màn hình có thể báo cho họ biết mọi thứ đang diễn ra, từ con hamster hết đồ ăn ở sau lưng đến việc FBI phá cửa xông vào trên tầng trệt.

PC/CONSOLE

Nhưng hacker mà Mọt tui nhắc đến trong bài viết này có lẽ chẳng giống tí nào với những mô tả trên. Artem Moskowsky (nghe tên là biết hacker Nga), một tay “thợ săn bug” tự phong vừa nhận được một khoản tiền tương đối… bèo từ Valve sau khi khám phá ra một bug trên Steam và thông báo cho công ty của Gabe Newell. Bug này tỏ ra cực kỳ nghiêm trọng nếu Artem quyết định giữ kín và dùng để trục lợi cho bản thân mình: nó cho phép Artem tạo ra vô số key kích hoạt cho bất kỳ tựa game nào trên Steam, hoàn toàn miễn phí. Artem nói rằng mình phát hiện ra bug này khi đang “lang thang” trên cổng dành cho đối tác của Steam, nơi chứa các công cụ tạo key game để nhà phát triển có thể tạo key cho tựa game của chính mình.

Chỉ hình dung thôi là bạn có thể thấy bug này nghiêm trọng đến mức nào: Artem có thể dùng nó để chơi game bản quyền miễn phí trọn đời, hoặc bán key game giá rẻ kiểu các game thủ Việt Nam đã quen thuộc. Điều này sẽ khiến Valve thiệt hại nặng nề bởi chính sách “chia chác” của Valve là nhà phát triển sẽ nhận được 70% giá tiền của một bản game được bán ra trên Steam, dù thực tế Valve chưa nhận được một xu nào cả.

Artem phát hiện bug trên Steam và thông báo với Valve từ tháng 8 năm nay, nhưng thông tin về bug chỉ được công bố vào hôm qua, có lẽ là để hạn chế việc kẻ gian tìm ra những bug tương tự và để Valve có đủ thời gian để khắc phục hoàn chỉnh. Dựa trên thông tin được Valve công bố, bug này lợi dụng một vấn đề trong bộ công cụ cho nhà phát triển trên Steam. Bằng cách sử dụng “những thông số nhất định,” bất kỳ ai có thể truy cập vào các công cụ này có thể tạo ra key cho bất kỳ tựa game nào đang có mặt trên Steam.

Sau khi được biết về bug trên Steam và khắc phục nó, Valve cũng đã thực hiện một cuộc điều tra để xem còn có ai khác đã dùng bug này để trục lợi cho cá nhân hay không, và kết luận là chưa từng có ai lợi dụng bug này trong quá khứ. Đây là một điều cực kỳ may mắn cho Valve, bởi Artem nói rằng trong quá trình thử nghiệm bug này, anh đã thử khiến Steam “nôn” ra 36.000 key cho Portal 2. Nếu những key này được bán ra, Steam sẽ thiệt hại một đống tiền, trong khi người mua cũng sẽ mất trắng nếu Steam phát hiện bug và thu hồi các key game giả.

Hồi đầu năm nay, Valve cũng đã vá một bug khá nghiêm trọng khác trên nền tảng phát hành game của mình. Nó cho phép hacker đánh cắp tài khoản của người dùng nếu họ click vào một đường link độc hại, chiếm quyền điều khiển tài khoản đó trên máy người dùng và cài đặt các phần mềm độc hại, dùng tiền của nạn nhân mua các vật phẩm “giá trên trời” trên Marketplace… Nó khiến game thủ phải rỉ tai nhau rằng đừng click vào bất kỳ một link tới hồ sơ của bất kỳ game thủ nào khác trên Steam, và tắt Java Script trên trình duyệt của mình để tránh trở thành nạn nhân của bug.

Trong quá khứ, Steam từng phải mang tiếng vì nhiều phi vụ lừa đảo khác nhau, nên nếu kẻ gian biết về bug trên Steam mà Artem vừa phát hiện, chúng hoàn toàn có thể tìm ra nhiều cách để lợi dụng bug này. Việc truy cập vào bộ công cụ dành cho nhà phát triển trên Steam cũng khá dễ dàng, bởi Valve dang mở rộng chính sách xét duyệt game trên nền tảng phát hành của mình, và ngay trong thời điểm hiện tại có hàng trăm, hàng ngàn nhà phát triển đáng ngờ với những tựa game xào đi xào lại hoặc game “cày thành tựu” trên Steam.

Về phía Artem, có vẻ như anh chàng đang sống rất khá với nghề “thợ săn bug” của mình. Hồi tháng 7 năm nay, anh cũng đã khui ra một bug trên Steam khác và nhận được khoản tiền công 20.000 USD cộng thêm 5.000 USD tiền thưởng. Những khoản tiền mà Artem nhận được đến từ chương trình “Bug Bounty” của Valve, một chương trình được tạo ra để trao thưởng cho những ai tìm ra các lỗ hổng an ninh trên các phần mềm do hãng tạo ra, bao gồm cả game do Valve phát triển, Steam, Steam OS, các trang web do Valve vận hành… với số tiền thưởng thấp nhất từ vài trăm USD tùy vào mức độ nghiêm trọng của bug.