Кoмпaнии дoстaтoчнo чaстo выплaчивaют вoзнaгрaждeния зa oбнaружeниe уязвимoстeй в иx прoдуктax. И вoт стaлo извeстнo, чтo Valve выплатила вознаграждение в размере $20 тыс. украинскому исследователю безопасности Артему Московскому за обнаружение уязвимости в сервисе цифровой дистрибуции Steam, позволяющей получать доступ к ключам активации к любой игре.
Да, об уязвимости и выплате было объявлено еще 31 октября, но сообщение в плотном потоке других новостей ускользнуло от нашего внимания, поэтому пишем об этом только сейчас, так как написать об этом определенно стоит.
Finally. https://t.co/uRUCfAPJro
— Artem (@mskwsky) October 31, 2018
Говоря об уязвимости, она связана со Steam Web API. Ее суть в том, что подстановка «0» вместо истинного значения одного из параметров на странице partner.steamgames.com/partnercdkeys/assignkeys/ позволяла получить доступ к кодам активации. Причем однажды получив доступ к форме, можно было получать коды к различным играм, просто меняя ID.
Чтобы вы понимали, насколько все серьезно. В интервью изданию The Register Артем рассказал, что в одном из случаев он вбил в запрос произвольный ID и получил 36 тыс. рабочих кодов активации для игры Portal 2, которая до сих пор продается в магазине Steam за $9,99.
К счастью для Valve, Артем оказался добросовестным и порядочным человеком. Он не стал торговать кодами, на которых потенциально мог заработать гораздо больше, а сообщил об уязвимости разработчикам через платформу HackerOne, объединяющую коммерческие фирмы и исследователей безопасности. К слову, исследователь отправил отчет еще в начале августа и спустя три дня получил $20 тыс. двумя платежами по $15 тыс. и $5 тыс. соответственно.
Что интересно, это не самое крупное вознаграждение, полученное Артемом за обнаружение уязвимостей. В июле он заработал $25 тыс. за обнаружение ошибки, позволяющий получить доступ к базе данных Steam.
И как тут не вспомнить историю о том, как «Киевстар» предложил пользователю за пароли к его корпоративным системам всего $50.
Источник: The Register