Компания Valve выплатила вознаграждение в размере 20 тысяч долларов украинскому исследователю безопасности Артему Московскому, который обнаружил слабое место в сервисе цифровой дистрибуции Steam.
Данная уязвимость позволяла получать доступ к ключам активации к любой игре, – сообщает Минфин. В чем суть уязвимости Уязвимость связана со Steam Web API. Ее суть в том, что подстановка «0» вместо истинного значения одного из параметров на странице partner.steamgames.com/partnercdkeys/assignkeys/ позволяла получить доступ к кодам активации.
Причем однажды получив доступ к форме, можно было получать коды к различным играм, просто меняя ID. Стоит отметить, что в интервью изданию The Register Артем рассказал, что в одном из случаев он вбил в запрос произвольный ID и получил 36 тысяч рабочих кодов активации для игры Portal 2, которая до сих пор продается в магазине Steam за 9,99 долларов.
К счастью для Valve, Артем оказался добросовестным человеком. Он не стал торговать кодами, на которых потенциально мог заработать гораздо больше, а сообщил об уязвимости разработчикам через платформу HackerOne, объединяющую коммерческие фирмы и исследователей безопасности.
К слову, исследователь отправил отчет еще в начале августа и спустя три дня получил 20 тысяч двумя платежами по 15 тысяч и 5 тысяч долларов соответственно. Интересно, что это не самое крупное вознаграждение, полученное Артемом за обнаружение уязвимостей. В июле он заработал 25 тысяч долларов за обнаружение ошибки, позволяющий получить доступ к базе данных Steam. Как сообщалось ранее, компанию самого богатого человека на планете уличили в пиратстве.
Leave a Comment