Украинец заработал 20 тысяч долларов за то, что нашел уязвимость в Steam

Украинец заработал $20.000 за то, что нашел уязвимость в Steam.

Американская компания Valve разработчик таких популярных компьютерных игр Half-Life, Portal, Counter-Strike, Dota 2 и многих других заплатила в качестве вознаграждения $20.000 украинскому исследователю уязвимостей Артему Московскому за то, что он нашел баг (ошибку в компьютерном коде) в сервисе цифровой дистрибуции Steam.


Данная уязвимость позволяла получать доступ к ключам активации к любой игре.

В чем суть уязвимости.
Уязвимость связана со Steam Web API. Ее суть в том, что подстановка «0» вместо истинного значения одного из параметров на странице partner.steamgames.com/partnercdkeys/assignkeys/ позволяла получить доступ к кодам активации.
Причем однажды получив доступ к форме, можно было получать коды к различным играм, просто меняя ID.
Стоит отметить, что в интервью изданию The Register Артем рассказал, что в одном из случаев он вбил в запрос произвольный ID и получил 36 тысяч рабочих кодов активации для игры Portal 2, которая до сих пор продается в магазине Steam за 9,99 долларов.

К счастью для Valve, Артем оказался добросовестным человеком. Он не стал торговать кодами, на которых потенциально мог заработать гораздо больше, а сообщил об уязвимости разработчикам через платформу HackerOne, объединяющую коммерческие фирмы и исследователей безопасности.

К слову, исследователь отправил отчет еще в начале августа и спустя три дня получил 20 тысяч двумя платежами по 15 тысяч и 5 тысяч долларов соответственно.

Интересно, что это не самое крупное вознаграждение, полученное Артемом за обнаружение уязвимостей. В июле он заработал 25 тысяч долларов за обнаружение ошибки, позволяющий получить доступ к базе данных Steam.



Источник: https://ain.ua/2018/11/15/valve-zapl...syach-ukraincu