Компания Valve выплатила вознаграждение в размере 20 тысяч долларов украинскому исследователю безопасности Артему Московскому, который обнаружил слабое место в сервисе цифровой дистрибуции Steam, пишет ITC.
Украинец получил 20 тысяч долларов за то, что нашел уязвимость в Steam
Данная уязвимость позволяла получать доступ к ключам активации к любой игре.
В чем суть уязвимости
- Уязвимость связана со Steam Web API. Ее суть в том, что подстановка «0» вместо истинного значения одного из параметров на странице partner.steamgames.com/partnercdkeys/assignkeys/ позволяла получить доступ к кодам активации.
- Причем однажды получив доступ к форме, можно было получать коды к различным играм, просто меняя ID.
Стоит отметить, что в интервью изданию The Register Артем рассказал, что в одном из случаев он вбил в запрос произвольный ID и получил 36 тысяч рабочих кодов активации для игры Portal 2, которая до сих пор продается в магазине Steam за 9,99 долларов.
К счастью для Valve, Артем оказался добросовестным человеком. Он не стал торговать кодами, на которых потенциально мог заработать гораздо больше, а сообщил об уязвимости разработчикам через платформу HackerOne, объединяющую коммерческие фирмы и исследователей безопасности.
К слову, исследователь отправил отчет еще в начале августа и спустя три дня получил 20 тысяч двумя платежами по 15 тысяч и 5 тысяч долларов соответственно.
Интересно, что это не самое крупное вознаграждение, полученное Артемом за обнаружение уязвимостей. В июле он заработал 25 тысяч долларов за обнаружение ошибки, позволяющий получить доступ к базе данных Steam.
Комментарии - 4
По сути, чем отличается игровая СИСТЕМА от СИСТЕМЫ управления государством? — ИСПОЛНЕНИЕМ функций(команд).
Но почему в игровой СИСТЕМЕ всякое НЕисполнение функций(команд) устраняется и исправляется программа команд, что поощряется, а в СИСТЕМЕ управления государством — НЕ устраняется и НЕ исправляется, а вскрытие таких «ошибок» системы, уязвимости, — наказуемо?
Это БЕЗумный мир людей.