Valve пользуется услугами HackerOne — сервиса, где люди с хакерскими навыками могут сообщать компаниям об уязвимостях в их цифровых продуктах и получать за это вознаграждения. Недавно пользователь drbrix рассказал, что в Steam есть баг, при помощи которого можно было генерировать деньги для кошелька своей учётной записи.
Как пишет drbrix, потенциальный хакер должен был прикрепить профиль в Steam к почте, где в адресе есть термин amount100 — например, brixamount100abc@mail.com. После этого нужно было запустить пополнение кошелька Steam через метод оплаты Smart2Pay и перехватить запрос POST, который отправляется на globalapi.smart2pay.com. В этом запросе менялись определённые параметры, в результате чего на кошелёк зачислялась значительно увеличенная сумма — можно было заплатить $1, а на аккаунте Steam появилось бы $100.
Valve отреагировала на отчёт довольно быстро: пост на HackerOne появился 9 августа, а уже 10 августа представитель Steam вышел на связь. Судя по переписке, исправление подготовили в тот же день. Valve поставила багу критический уровень важности и присудила пользователю drbrix вознаграждение — $7 500.
Благодаря человеку, который сообщил об этом баге, нам вместе с оператором платежей удалось устранить проблему без неудобств для наших клиентов.
Сотрудник Valve в комментарии для The Daily Swig
Читай также
Лучшие комментарии
> баг на «бесплатные» деньги
hodreroydoА вообще, мне кажется что 7.5 к долларов как-то маловато для такого бага.
И заодно получить уникальный шанс узнать, что всё-таки делают в тюрячке С:
А такой баг был? И я зря на распродаже отдал всю зарплату?
Там приходит Ханс Кынгыр и достает ФЛЮГЕГЕХАЙМЕН ?
Обращался к ним более 3 раз, отвечали в течении 3-4 часов.
Нет. Обычно выкладывают только часть уязвимости, (которая не даёт никаких возможностей для самостоятельного воспроизведения), иногда дополняют демонстрацией её работы. Затем информируют авторов софта, передают им остальные детали, и там уже дальше уязвимости присваивается ранг и вознаграждение (если таковое предусмотрено).
Бывает что, после устранения уязвимости, выкладывают в общий доступ вообще все механики и инструменты по их воспроизведению.
Ну это если про «белых хаккеров» говорить. Хотя исключения бывают везде. На моей памяти были парочка случаев, когда в открытый доступ сливали всё для воспроизведения бага, чтобы смотивировать разраба признать уязвимость и выпустить патч. Из подобных случаев что встречал я — это было с майкрософтом. Они почему-то годами могут игнорировать уязвимости.
Вот чёрт. Теперь недохакерам будет сложнее делать свои видео «КАК НАКРУТИТЬ ДЕНЬГИ В СТИМ В 2021 ГОДУ ЛЕГКО».
Контроль над системами получить нельзя, внутренние данные не утекают, крупные не стыковки при первом же отчете оператора обнаруживаются и через платежку отследить источник дело посильное. На самом деле довольно безобидный баг.
Большие денежные награды мотивируют людей, как ни странно, именно своей денежной составляющей. А что будет, если ты привлечешь к поиску уязвимостей хакеров, что работают ради денег? Риторический вопрос, ясное дело)
у меня когда аккаунт увели то поддержка в тот же день вернула
Не сказал бы. Тип неожиданно, но баг хоть и критический, но последствий сильных не несет. Тем более скорее всего данную атаку (тип купить ключи и попробовать продать или манипуляции с маркетом) позднее бы система аналитики отловила бы.
Ну, если учесть что в конце таймлайна там указано «This report has been disclosed.», то видимо все-таки нет.
Тоже об этом подумал. Так то потенциальные потери намного велики.
Смысл сей структуры в том, что любая работа должна иметь вознаграждение, но быть оно должно соразмерным самой работе, а не маштабам проблем, которые данная работа лечит.
Придётся это как-то запечатлеть
hodreroydoЯ механику репорта не понял.
Он выложил эти данные в открытый доступ? То есть любой мог увидеть и воспользоваться ими, пока баг не прикрыли?
Зато можно снять видео по типу mistakes were made
hodreroydoТак в этом смысл сего сайта, и сей структуры, не?
Лучше чтобы об уязвимости сообщали, а не пользовались.