Компанія Valve виплатила винагороду в розмірі 20 тисяч доларів українському досліднику безпеки Артему Московському, який знайшов уразливість в сервісі цифрової дистрибуції Steam, пише ITC.
Українець отримав 20 тисяч доларів за те, що той знайшов слабке місце в Steam
Дана уразливість дозволяла отримувати доступ до ключів активації до будь-якої гри.
У чому суть уразливості
- Уразливість пов'язана зі Steam Web API. Її суть в тому, що підстановка «0» замість істинного значення одного з параметрів на сторінці partner.steamgames.com/partnercdkeys/assignkeys/ дозволяла отримати доступ до кодів активації.
- Причому одного разу отримавши доступ до форми, можна було отримувати коди до різних ігор, просто змінюючи ID.
Варто зазначити, що в інтерв'ю виданню The Register Артем розповів, що в одному з випадків він вбив в запит довільний ID і отримав 36 тисяч робочих кодів активації для гри Portal 2, яка до цих пір продається в магазині Steam за 9,99 доларів.
На щастя для Valve, Артем виявився сумлінною людиною. Він не став торгувати кодами, на яких потенційно міг заробити набагато більше, а повідомив про уразливість розробникам через платформу HackerOne, що об'єднує комерційні фірми та дослідників безпеки.
До слова, дослідник відправив звіт ще на початку серпня і через три дні отримав 20 тисяч двома платежами по 15 тисяч і 5 тисяч доларів відповідно.
Варто зазначити, що це не найбільша винагорода, отримана Артемом за виявлення уразливостей. У липні він заробив 25 тисяч доларів за виявлення помилки, що дозволяє отримати доступ до бази даних Steam.
Коментарі - 4
По сути, чем отличается игровая СИСТЕМА от СИСТЕМЫ управления государством? — ИСПОЛНЕНИЕМ функций(команд).
Но почему в игровой СИСТЕМЕ всякое НЕисполнение функций(команд) устраняется и исправляется программа команд, что поощряется, а в СИСТЕМЕ управления государством — НЕ устраняется и НЕ исправляется, а вскрытие таких «ошибок» системы, уязвимости, — наказуемо?
Это БЕЗумный мир людей.