[영어기사] Critical Valve Bug Lets Gamers Add Unlimited Funds to Steam Wallets
Critical Valve Bug Lets Gamers Add Unlimited Funds to Steam Wallets
https://threatpost.com/valve-bug-unlimited-funds/168710/
Critical Valve Bug Lets Gamers Add Unlimited Funds to Steam Wallets
Valve plugs an API bug found in its Steam platform that that abused the Smart2Pay system to add unlimited funds to gamer digital wallets.
threatpost.com
0
Critical Valve Bug Lets Gamers Add Unlimited Funds to Steam Wallets
치명적인 밸브 버그는 스팀 지갑으로 무제한으로 돈을 추가한다.
1
Valve plugs an API bug found in its Steam platform that that abused the Smart2Pay system to add unlimited funds to gamer digital wallets.
밸브는 Smart2Pay 시스템을 남용해서 게이머의 전자지갑으로 무제한으로 돈을 추가하는 스팀 플랫폼의 API bug를 찾아내 막았다.
| API | Application Programming Interface의 약자로 응용프로그램에서 운영체제나 프로그래밍 언어가 제공하는 기능을 제어할 수 있게 만든 인터페이스를 뜻한다. |
2
A security researcher helped Valve, the makers of the gaming platform Steam, plug an easy-to-exploit hole that allowed users to add unlimited funds to their digital wallet. Simply by changing the account’s email address, the exploit allowed anyone to artificially boost their digital billfold to anything they wanted.
스팀 플랫폼 게임 제작사인 밸브는 보안연구가의 도움으로, 돈 복사(ㅋㅋ) 하는 유저를 허용하는 취약점을 막았다. 그냥 계정의 이메일 주소만 변경하면 이 취약점은 그들의 전자 지갑에 그들이 원하는 어떠한 인위적인 것을 할 수 있다.
| plug | 막다 |
| simply | 그냥, 그저, 간단히 |
| artificially | 인위적인 |
| billfold | 지갑 |
3
Steam Wallet funds are exclusive to the Steam platform and are used to purchase in-game merchandise, subscriptions and Steam-related content. Valve restricts Steam credits (or money) from being transferred outside its network for purchase or trading. However, there are several unsanctioned ways to convert wallet funds into actual dollars.
스팀 지갑 자금은 스팀 플랫폼이 전용으로 게임내 물품을 구입, 스팀과 관련된 서비스 사용을 할때 사용한다. 밸브는 스팀의 신용(또는 돈)이 구매나 거래를 위해 네트워크를 외부로 전송하는것을 제한한다. 그러나 이것은 실제 돈으로부터 지갑 자금이 변환되는 몇몇 승인되지 않은 방법이 있다.
| subscription | 구독료, 가입, 서비스 사용 |
| exclusive | 독점적인, 전용의 |
| restricts | 제한하다, 방해하다 |
| unsanctioned | 승인되지 않은, 수용할 수 없는 |
| actual | 실제의, 사실 |
4
Working for the HackerOne bug-bounty program, security researcher DrBrix, reported the bug last Monday. By Wednesday, Valve plugged the hole and paid DrBrix $7,500 for identifying the bug.
HackerOne에서 버그바운티 프로그램을 하는 보안 전문가 DrBrix는 지난 월요일에 버그를 발표했다. 수요일까지 밸브는 버그 식별에 DrBrix에게 7500달러를 지불하고 구멍(취약점,문제?)을 막았다.
5
The Hack: Turning $1 into $100 or $1M
1달러를 100달러 또는 100만달러로 바꾼다.
6
The bug, which has since been patched, was exploited by abusing Valve’s own application programming interface (API) used to communicate with the third-party web payment firm Smart2Pay, owned by Nuvei.
패치된 이후의 이 버그는 Nuvei 소유의 제 3자 웹 결제 회사인 Smart2Pay와 통신하는데 사용하는 밸브의 API를 남용하여 익스플로잇 되어 왔다.
| own | 자신의, (소유관련성 강조) |
| third-party | 제 3자 |
| firm | 회사 |
7
According to DrBrix, the hack allowed an attacker to intercept the POST request sent from Valve to Smart2Pay. This was done via modifying the Steam user’s email address used by Smart2Pay as it passed through the Valve API.
DrBrix 에 따르면, 이 해킹은 Valve로부터 Smart2Pay에 보내지는 POST request를 가로막고 공격자의 공격을 허용한다. 이것은 Valve API를 통과할때 Smart2Pay에 사용하는 스팀유저 이메일 주소를 통해 수정된다.
| via | 경유하여, 통하여 |
| modify | 수정하다, 바꾸다 |
8
“Firstly you will have to change yours steam account email to something like (I will explain why in next steps, amount100 is the important part): brixamount100abc@█████,” the researcher wrote.
첫번째로 brixamount100abc@~~ 와 같이 스팀 유저 이메일을 바꾼다.(amount100의 중요성은 다음 부분에서 설명하겠다)
9
This allows the attacker to manipulate communications between Valve and Smart2Pay, circumventing the cryptographic hash used to protect transaction data.
이것은 통신데이터 보호에 사용하는 암호화해쉬를 피하여 Valve와 Smart2Pay 사이에서 통신을 공격자가 조종하게 허용한다.
| manipulate | 조종하다, 다루다 |
| circumvent | 피하다 |
10
“We can’t change parameters as there is Hash field with signature, however signature is generated like that hash (ALL_FIELDS_NAMES_VALUES_CONTACTED),” DrBrix wrote. “So with our special email we can move parameters in a way that will change amount for us.”
해쉬 필드안의 서명은 매개변수를 바꿀 순 없지만, 서명은 일반적으로 (ALL_FIELES_NAMES_VALUES_CONTACTED) 와 같다고 DrBix가 기록했다. 그래서 특별한 이메일을 사용하여 금액을 변경시는 방식으로 매개변수를 이동할 수 있다.
| signature | 서명 |
11
Where the Valve parameters might be,
Valve의 매개변수가 있을 수 있는 위치는
12
“hash(MerchantID1102MerchantTransactionID█████Amount2000…..)” the attacker can turn $1 into $100 simply by changing the format of the email request.
“hash(MerchantID1102MerchantTransactionID█████Amount2000…..)” 공격자는 이메일 요청 형식을 간단히 바꿈으로서 $1를 $100로 바꿀 수 있다.
13
“So with our special email we can move parameters in a way that will change amount for us. For example, we can change original Amount=2000 to Amount2=000 and after contacting it still will be Amount2000. Then we can change email from CustomerEmail=brixamount100abc%40████ to CustomerEmail=brix&amount=100&ab=c%40█████████ by this we are adding new field amount with our value,” DrBrix wrote.
"그래서 우리의 특별한 이메일로 금액을 변경하도록 매개변수를 이동할 수 있다. 예를 들어, 원래 Amount=2000을 Amount2=000로 바꿀 수 있고, 연결된 후에도 여전히 Amount2000 일 것이다. 이메일의 CustomerEmail=brixamount100abc%40████ 을 CustomerEmail=brix&amount=100&ab=c%40█████████ 으로 바꿀 수 있고 이를 통해 새로운 필드 금액이 우리 값에 추가된다." 라고 DrBrix가 썼다.
| amount | 총액, 총계, 액수 |
14
Valve first rated the bug as of moderate importance. However, after investigating, it escalated the bug to critical in nature, scoring it “9-10”, with the highest possible rating 10.
Valve는 처음 이 버그를 중간정도 중요하다고 평가했다. 하지만, 조사 후 버그를 현실적으로 치명적으로 확대해 최대 10점 중 "9-10점"으로 점수매겼다.
| moderate | 보통의, 중간의 |
| investigate | 수사하다, 조사하다 |
| escalate | 확대되다 |
| in nature | 사실상, 현실적으로, 더할 나위 없이 |
15
Valve did not return a Threatpost press request for comment.
Valve는 Threadpost 신문의 코멘트 요청에도 응답하지 않았다.
| press | 신문, 언론 |
16
“We have changed the severity assessment to Critical, reflecting the potential cost to the business, and applied a bounty accordingly,” wrote Valve in a HackerOne thread thanking DrBrix for the tip.
보안 평가를 Critical로 변경하였고, 비즈니스에 대한 잠재적 비용을 반영했으며, 이에 따라 포상금을 적용했다," 라고 Valve는 DrBrix의 팁에 대해 감사하다는 스레드를 HackerOne에 작성했다.
| assessment | 평가 |
| reflect | 반영 |
| apply | 적용하다, 신청하다 |
| bounty | 포상금 |
Words
| API | Application Programming Interface의 약자로 응용프로그램에서 운영체제나 프로그래밍 언어가 제공하는 기능을 제어할 수 있게 만든 인터페이스를 뜻한다. |
| plug | 막다 |
| simply | 그냥, 그저, 간단히 |
| artificially | 인위적인 |
| billfold | 지갑 |
| subscription | 구독료, 가입, 서비스 사용 |
| exclusive | 독점적인, 전용의 |
| restricts | 제한하다, 방해하다 |
| unsanctioned | 승인되지 않은, 수용할 수 없는 |
| actual | 실제의, 사실 |
| own | 자신의, (소유관련성 강조) |
| third-party | 제 3자 |
| firm | 회사 |
| via | 경유하여, 통하여 |
| modify | 수정하다, 바꾸다 |
| manipulate | 조종하다, 다루다 |
| circumvent | 피하다 |
| signature | 서명 |
| amount | 총액, 총계, 액수 |
| moderate | 보통의, 중간의 |
| investigate | 수사하다, 조사하다 |
| escalate | 확대되다 |
| in nature | 사실상, 현실적으로, 더할 나위 없이 |
| press | 신문, 언론 |
| assessment | 평가 |
| reflect | 반영 |
| apply | 적용하다, 신청하다 |
| bounty | 포상금 |