Hvis du var på Steam søndag aften, har du nok allerede set Watch Paint Dry i deres katalog.
En bruger som kalder sig selv for Ruby havde skaffet sig en Steamworks konto via en anden form for sårbarhed i Valves systemer, hvorefter han fik den idé at lægge et spil ud. Han skabte et spil i RPG Maker som var ca. 45 sekunder langt og lagde det op på hans nye udvikler konto som så ventede på svar fra en Valve medarbejder.
Til gengæld fik han en god idé. Hvorfor godkendte han ikke achievements, kort og emoticons selv?
Efter han begyndte at fiske efter bruger-ID, fik han pludselig fat på en Valve konto. Med denne kunne han snildt godkende spillet OG gøre det klar til udgivelse gennem deres katalog. Da han så endelig skulle udgive spillet, var der kun et enkelt javascript-kald til en funktion ved navn ReleaseGame mellem ham og spillets udgivelse.
Interessant nok var der overhovedet ingen form for sikkerhed på selve denne funktion, så efter at han smed nogle numre efter den, var spillet pludseligt udgivet og på kataloget.
Han har siden da taget kontakt til Valve omkring sårbarhederne i deres system, som så sidenhen har slettet spillet fra deres database. Du kan, til gengæld, se på et arkiveret instans af siden her.
(Fra Rubys egen Medium konto.)