16 августа 2021 16.08.21 28 8745

В Steam исправили баг на «бесплатные» деньги

Valve пользуется услугами HackerOne — сервиса, где люди с хакерскими навыками могут сообщать компаниям об уязвимостях в их цифровых продуктах и получать за это вознаграждения. Недавно пользователь drbrix рассказал, что в Steam есть баг, при помощи которого можно было генерировать деньги для кошелька своей учётной записи.

Как пишет drbrix, потенциальный хакер должен был прикрепить профиль в Steam к почте, где в адресе есть термин amount100 — например, brixamount100abc@mail.com. После этого нужно было запустить пополнение кошелька Steam через метод оплаты Smart2Pay и перехватить запрос POST, который отправляется на globalapi.smart2pay.com. В этом запросе менялись определённые параметры, в результате чего на кошелёк зачислялась значительно увеличенная сумма — можно было заплатить $1, а на аккаунте Steam появилось бы $100.

Valve отреагировала на отчёт довольно быстро: пост на HackerOne появился 9 августа, а уже 10 августа представитель Steam вышел на связь. Судя по переписке, исправление подготовили в тот же день. Valve поставила багу критический уровень важности и присудила пользователю drbrix вознаграждение — $7 500.

Благодаря человеку, который сообщил об этом баге, нам вместе с оператором платежей удалось устранить проблему без неудобств для наших клиентов.
Сотрудник Valve в комментарии для The Daily Swig

Поддержи Стопгейм!

Лучшие комментарии

А вообще, мне кажется что 7.5 к долларов как-то маловато для такого бага.

А такой баг был? И я зря на распродаже отдал всю зарплату?

Там приходит Ханс Кынгыр и достает ФЛЮГЕГЕХАЙМЕН ?

Нет. Обычно выкладывают только часть уязвимости, (которая не даёт никаких возможностей для самостоятельного воспроизведения), иногда дополняют демонстрацией её работы. Затем информируют авторов софта, передают им остальные детали, и там уже дальше уязвимости присваивается ранг и вознаграждение (если таковое предусмотрено).
Бывает что, после устранения уязвимости, выкладывают в общий доступ вообще все механики и инструменты по их воспроизведению.

Ну это если про «белых хаккеров» говорить. Хотя исключения бывают везде. На моей памяти были парочка случаев, когда в открытый доступ сливали всё для воспроизведения бага, чтобы смотивировать разраба признать уязвимость и выпустить патч. Из подобных случаев что встречал я — это было с майкрософтом. Они почему-то годами могут игнорировать уязвимости.

Вот чёрт. Теперь недохакерам будет сложнее делать свои видео «КАК НАКРУТИТЬ ДЕНЬГИ В СТИМ В 2021 ГОДУ ЛЕГКО».

Контроль над системами получить нельзя, внутренние данные не утекают, крупные не стыковки при первом же отчете оператора обнаруживаются и через платежку отследить источник дело посильное. На самом деле довольно безобидный баг.

Большие денежные награды мотивируют людей, как ни странно, именно своей денежной составляющей. А что будет, если ты привлечешь к поиску уязвимостей хакеров, что работают ради денег? Риторический вопрос, ясное дело)

у меня когда аккаунт увели то поддержка в тот же день вернула

Не сказал бы. Тип неожиданно, но баг хоть и критический, но последствий сильных не несет. Тем более скорее всего данную атаку (тип купить ключи и попробовать продать или манипуляции с маркетом) позднее бы система аналитики отловила бы.

Ну, если учесть что в конце таймлайна там указано «This report has been disclosed.», то видимо все-таки нет.

Тоже об этом подумал. Так то потенциальные потери намного велики.

Смысл сей структуры в том, что любая работа должна иметь вознаграждение, но быть оно должно соразмерным самой работе, а не маштабам проблем, которые данная работа лечит.

Я механику репорта не понял.
Он выложил эти данные в открытый доступ? То есть любой мог увидеть и воспользоваться ими, пока баг не прикрыли? 

Зато можно снять видео по типу mistakes were made

А что будет, если ты привлечешь к поиску уязвимостей хакеров, что работают ради денег?

Так в этом смысл сего сайта, и сей структуры, не? 
Лучше чтобы об уязвимости сообщали, а не пользовались. 

Читай также