Wer als unabhängiger Entwickler ein Spiel auf der Vertriebsplattform Steam veröffentlichen will, muss es beim Greenlight-Programm anmelden. Valve-Mitarbeiter prüfen alle dort eingereichten Spiele, bevor sie veröffentlicht werden können. Soweit die Theorie. Wie Hacker Ruby nun herausfand, konnte man aber auch einfach ein paar AJAX-Anfragen an die Steam-Server fälschen, sich als Valve-Mitarbeiter ausgeben und einfach auf "Spiel veröffentlichen" klicken.

Zack, schon ist das 45-Sekunden-RPG "Watch Paint Dry: The Game" (zu Deutsch etwa "Schaue Farbe beim Trocknen zu: Das Spiel") samt Steam-Sammelkarten im Store. Valve hat natürlich sofort reagiert und das Spiel wieder entfernt. Und die Sicherheitslücke in Steamworks, der Entwicklerseite für Steam, ist jetzt auch gestopft. Schade, wir hätten da noch ein paar kreative Ideen für Spiele-Titel gehabt.

lost+found: Die heise-Security-Rubrik für Kurzes und Skurriles aus der IT-Security

(fab)