Украинец нашел в Steam уязвимость, открывающую доступ к ключам активации любой игры. В благодарность Valve выплатила ему $20 тыс.

19 ноября, 2018 adminGWP

Кoмпaнии дoстaтoчнo чaстo выплaчивaют вoзнaгрaждeния зa oбнaружeниe уязвимoстeй в иx прoдуктax. И вoт стaлo извeстнo, чтo Valve выплатила вознаграждение в размере $20 тыс. украинскому исследователю безопасности Артему Московскому за обнаружение уязвимости в сервисе цифровой дистрибуции Steam, позволяющей получать доступ к ключам активации к любой игре.

Да, об уязвимости и выплате было объявлено еще 31 октября, но сообщение в плотном потоке других новостей ускользнуло от нашего внимания, поэтому пишем об этом только сейчас, так как написать об этом определенно стоит.

Finally. https://t.co/uRUCfAPJro

— Artem (@mskwsky) October 31, 2018

Говоря об уязвимости, она связана со Steam Web API. Ее суть в том, что подстановка «0» вместо истинного значения одного из параметров на странице partner.steamgames.com/partnercdkeys/assignkeys/ позволяла получить доступ к кодам активации. Причем однажды получив доступ к форме, можно было получать коды к различным играм, просто меняя ID.

Чтобы вы понимали, насколько все серьезно. В интервью изданию The Register Артем рассказал, что в одном из случаев он вбил в запрос произвольный ID и получил 36 тыс. рабочих кодов активации для игры Portal 2, которая до сих пор продается в магазине Steam за $9,99.

К счастью для Valve, Артем оказался добросовестным и порядочным человеком. Он не стал торговать кодами, на которых потенциально мог заработать гораздо больше, а сообщил об уязвимости разработчикам через платформу HackerOne, объединяющую коммерческие фирмы и исследователей безопасности. К слову, исследователь отправил отчет еще в начале августа и спустя три дня получил $20 тыс. двумя платежами по $15 тыс. и $5 тыс. соответственно.

Что интересно, это не самое крупное вознаграждение, полученное Артемом за обнаружение уязвимостей. В июле он заработал $25 тыс. за обнаружение ошибки, позволяющий получить доступ к базе данных Steam.

И как тут не вспомнить историю о том, как «Киевстар» предложил пользователю за пароли к его корпоративным системам всего $50.

Источник: The Register

Опубликовано в рубрике Новости IT
«
»
Комментирование и размещение ссылок запрещено.

Комментарии закрыты.