17 листопада 2018, 14:50 Читать на русском

Українець отримав 20 тисяч доларів за те, що той знайшов слабке місце в Steam

Компанія Valve виплатила винагороду в розмірі 20 тисяч доларів українському досліднику безпеки Артему Московському, який знайшов уразливість в сервісі цифрової дистрибуції Steam, пише ITC.

Компанія Valve виплатила винагороду в розмірі 20 тисяч доларів українському досліднику безпеки Артему Московському за виявлення уразливості в сервісі цифрової дистрибуції Steam, пише ITC.
Фото: pexels.com

Дана уразливість дозволяла отримувати доступ до ключів активації до будь-якої гри.

У чому суть уразливості

  • Уразливість пов'язана зі Steam Web API. Її суть в тому, що підстановка «0» замість істинного значення одного з параметрів на сторінці partner.steamgames.com/partnercdkeys/assignkeys/ дозволяла отримати доступ до кодів активації.
  • Причому одного разу отримавши доступ до форми, можна було отримувати коди до різних ігор, просто змінюючи ID.

Варто зазначити, що в інтерв'ю виданню The Register Артем розповів, що в одному з випадків він вбив в запит довільний ID і отримав 36 тисяч робочих кодів активації для гри Portal 2, яка до цих пір продається в магазині Steam за 9,99 доларів.

На щастя для Valve, Артем виявився сумлінною людиною. Він не став торгувати кодами, на яких потенційно міг заробити набагато більше, а повідомив про уразливість розробникам через платформу HackerOne, що об'єднує комерційні фірми та дослідників безпеки.

До слова, дослідник відправив звіт ще на початку серпня і через три дні отримав 20 тисяч двома платежами по 15 тисяч і 5 тисяч доларів відповідно.

Варто зазначити, що це не найбільша винагорода, отримана Артемом за виявлення уразливостей. У липні він заробив 25 тисяч доларів за виявлення помилки, що дозволяє отримати доступ до бази даних Steam.

Коментарі - 4

+
+65
Andrey Matskevich
Andrey Matskevich
17 листопада 2018, 15:13
#
Украинец — Артем Московский, это классика
+
+14
AleksandrBank
AleksandrBank
17 листопада 2018, 17:42
#
Это зрада )!
+
+9
Игорь Коляда
Игорь Коляда
17 листопада 2018, 20:38
#
Может быть кому-то и радостно, а мне например — грустно.
По сути, чем отличается игровая СИСТЕМА от СИСТЕМЫ управления государством? — ИСПОЛНЕНИЕМ функций(команд).
Но почему в игровой СИСТЕМЕ всякое НЕисполнение функций(команд) устраняется и исправляется программа команд, что поощряется, а в СИСТЕМЕ управления государством — НЕ устраняется и НЕ исправляется, а вскрытие таких «ошибок» системы, уязвимости, — наказуемо?
Это БЕЗумный мир людей.
+
+9
Григорий П
Григорий П
18 листопада 2018, 7:23
#
Всякая СИСТЕМА стремится к состоянию спокойствия. Иными словами — ей так комфортно и она не хочет меняться. Изменения возможны только при воздействии со стороны
Щоб залишити коментар, потрібно увійти або зареєструватися