Еще один пользователь Steam получил бан на 20 лет за обнаружение уязвимости сервиса

В закладки

Всем доброго времени суток. Месяц назад я получил блокировку сообщества (aka запрет всего) за исследование (не эксплуатацию!) уязвимости, которое было почти за год до этого. На фоне обсуждения ситуации с Kaby мне захотелось поделиться и своей историей.

Предыстория

Около года назад один хороший друг сообщил мне, что нашел в предметах мастерской XSS уязвимость (прим. XSS уязвимость - это уязвимость, позволяющая внедрить ваш собственный клиентский JS код в страницу, и как следствие выполнить любое действие или порядок действий от имени пользователя, открывшего уязвимую страницу. Будь то смена никнейма или покупка предмета на торговой площадке). Исследование безопасности - одно из моих любимых занятий, поэтому я сразу же пошел пытаться обнаружить где именно она была. Спустя несколько минут я нашел проблемное место и отчитался другу. Он попросил помочь ее раскрутить (достать дополнительную информацию об особенностях и т.д., обычно представителями команд разработчиков подобное поощряется).

У Steam, за что ему отдельный плюс, стоит запрет на контент с внешних доменов, поэтому загрузить скрипт со своего сервера не представлялось возможным. Отсюда родилась необходимость в поиске обхода лимита символов в оригинальном поле. После решения этой проблемы я проверил взаимодействие с самим Steam (сделал простой скрипт, оставлявший в моем профиле +rep), проверил его на самом себе, после чего удалил все предметы мастерской, в которых проходило тестирование. Стоит отметить, что и до этого они все были скрыты, но я все же предпочел их полностью удалить.

Всю информацию я отправил другу (он нашел проблемное место первым, а значит репортить - его привилегия). Спустя несколько дней я спросил его, зарепортил ли он это. Он ответил что нет, потому что у стима нет адекватной Bug Bounty программы и отсутствуют нормальные каналы для репорта уязвимостей (поддержка не в счет, многими уже проверена ее некомпетентность в том числе и в этом вопросе). Я предложил ему написать на erics@valvesoftware.com, так как у меня самого прежде, хоть и с переменным успехом, был опыт в получении фидбека и фиксах некоторый уязвимостей. Он в итоге, как и я, об этом кейсе просто забыл.

Последствия. Развитие истории спустя год.

Я ближе к лету стал реже заходить в стим, начал чаще заниматься полезными вещами. В двадцатых числах октября я в очередной раз зашел поиграть с одним знакомым в PUBG и обнаружил блокировку сообщества на 20 лет (до января 2038 года). Первое, что вызвала у меня эта новость - недоумение, учитывая что в последние полгода я не проявлял вообще никакой активности, разве что заходил поиграть во что-нибудь два раза в неделю. Но недоумение длилось не долго, пока не обнаружил что профиль того друга тоже получил блокировку сообщества.

Разъяснение в поддержке классически-бесполезное. На вопрос о том, в чем собственно было нарушение (про свое предположение о блокировке за поиск уязвимости я им не сообщал), мне ответили, что не могут этого сказать по каким-то внутренним причинам. На уточняющий вопрос "а пункт правил хотя-бы какой?" мне ответили, что сообщили все что нужно (будто до обращения в поддержку я не знал что забанен за "какое то нарушение") и закрыли вопрос.

По моему личному опыту общения с технической поддержкой разных сайтов (а их было много), поддержка Steam - самая роботизированная и бесполезная. Я с трудом выбил ответ не шаблоном (надеюсь), пусть и не более информативный.

Затем я написал на почту разработчикам, пояснив ситуацию. (Чтобы наверняка, отправил на все известные мне адреса, включая gaben и security (к слову, первый, в отличие от второго, иногда даже отвечает)). Из за слова "ban" в заголовке его вполне ожидаемо никто не читал. Пришлось пойти на хитрость и выдать письмо за репорт той самой уязвимости, где в определенном моменте я уточняю что за исследование этой самой уязвимости, выполненное год назад, я получил блокировку сейчас. Уловка сработала, и два разработчика прочитали письмо, один из них даже ответил.

«Привет, мы не смогли найти ваш репорт, и JS код, который вы встроили в предмет мастерской, был одновременно (разрушительным?) и вредоносным, поведение, не очень похожее на поведение исследователя безопасности. Мы не уберем блокировку.»

Скорее всего под вредоносным JS кодом Альфред упоминает скрипт, добавляющий мне в профиль +rep (причина его существования описана выше). Спустя пару минут размышлений я вспомнил, что за несколько дней до получения блокировки, мне в Steam приходило уведомление "+1 комментарий в вашем профиле", причем самого комментария не было. Просто так мне давно никто не писал, поэтому я предположил, что кто-то из разработчиков или модераторов сообщества случайно наткнулся на удаленный(!) предмет мастерской (а они могут их смотреть), и у него выполнился тот скрипт.

Я описал возможную причину в ответном письме, также указал, что если бы моей целью действительно была бы эксплуатация уязвимости, я бы просто сделал скрипт на покупку моих предметов с торговой площадки по завышенным ценам, и делал бы это массово. Но, к сожалению, уже второй день никто не отвечает. (И, вероятнее всего, никто моего ответа и не читал.)

Среди возможных причин, по которым я получил бан, помимо вышеупомянутого предположения можно выделить вероятность того, что за такой промежуток времени уязвимость нашел кто-то еще, и не исключено, что этот кто-то использовал ее во вред. В таком случае я и мой друг могли попасть под автоматический алгоритм блокировки.

И что дальше?

Ну во первых, стоит предупредить пользователей Steam, что не только эксплуатация, но и поиск уязвимостей вреден для здоровья и сохранности вашего аккаунта. Если в случае с пользователем Kaby есть заявления о том, что тот действительно использовал найденные им уязвимости во вред, то в нашем случае такого сказать не получится. XSS практически невозможно эксплуатировать незаметно, и подобный кейс уже давно стал бы общеизвестным, а бан бы я получил еще год назад.

Во вторых, стоит напомнить представителям Steam, что даже у PornHub и Imgur есть Bug Bounty программы, и платят White-Hat исследователям они деньгами (кто-то серьёзными, кто-то символическими), а не перманентными банами. С таким подходом, как у Steam, каждая мелочь из символических 100$ превращается в огромный инфоповод. Порой даже каждый третий узнает об уязвимости, и на некоторое время платформа становится неюзабельной. Что забавно, в таких ситуациях никого не блокируют (не ко всем подряд же применять санкции). Вспомните смену пароля любому пользователю или последние три массовых дефейса разделов сайта в результате использования XSS всякими школьниками (прим. Дефейс - изменение дизайна и содержания сайта (проигрывание +36 dB Димона) ради лулзов или с целью рекламы, чаще всего делается через XSS. Это к слову о том, что XSS почти никогда не получается использовать незаметно. Стоит кому-то пронюхать уязвимое поле, и тут же начинается повсеместная эксплуатация уязвимости в развлекательных целях).

Ну и в третьих, мне дорог мой аккаунт. Я считаю данную блокировку не очень обоснованной. Если вам интересна развязка истории - /id/umfc

Спасибо за прочтение и уделенное внимание.

{ "author_name": "Сергей Романович", "author_type": "self", "tags": [], "comments": 56, "likes": 56, "favorites": 1, "is_advertisement": false, "subsite_label": "flood", "id": 12706, "is_wide": false }
{ "id": 12706, "author_id": 33955, "diff_limit": 1000, "urls": {"diff":"\/comments\/12706\/get","add":"\/comments\/12706\/add","edit":"\/comments\/edit","remove":"\/admin\/comments\/remove","pin":"\/admin\/comments\/pin","get4edit":"\/comments\/get4edit","complain":"\/comments\/complain","load_more":"\/comments\/loading\/12706"}, "attach_limit": 2, "max_comment_text_length": 5000 }

56 комментариев 56 комм.

Популярные

По порядку

Написать комментарий...

Neko Natum

24

Исходя из этого, несколько правил юным исследователям:
1) Не ищи уязвимости в сервисе под основной учёткой
2) Если нет нормального багбаунти и после репорта ничего не исправлено в течении месяца - бери инициативу в свои руки и привлеки внимание к этой проблеме публично (и как можно более анонимно).

Ответить

Alek

Neko
6

3) Не имей никаких дел со Стимом. Здоровее будешь.

Ответить

Neko Natum

Alek
8

Это зло слишком удобное, чтобы его игнорировать.

Ответить

Женя Кириленко

12

"Спустя несколько дней я спросил его, зарепортил ли он это. Он ответил что нет. ... Он в итоге, как и я, об этом кейсе просто забыл."

То есть вы использовали уязвимость, тем самым нарушив правила сообщества, для того что бы протестировать и зарепортить эту же уязвимость. Но после теста вы решили её не репортить, всё верно? А теперь вам прилетел бан за нарушение правил сообщества, потому что вы ПОПРОСТУ ИХ НАРУШИЛИ и вас это возмутило??? Wait WUT?
Это как минимум - смешно, как максимум - заслуживает премию дарвина.

Ответить

Сергей Романович

Женя
3

Придется в очередной раз пояснить, чем различается ИССЛЕДОВАНИЕ и ИСПОЛЬЗОВАНИЕ (эксплуатация) XSS уязвимости.

Исследование: создаются скрытые в данном случае предметы мастерской. В них проверяется техническая информация вроде политики доменов, лимита символов, взаимодействие с внутренними функциями и т.п. После этого и без того скрытые от посторонних предметы еще и удаляются. Это даже с натяжкой нельзя назвать использованием уязвимости, так как кроме меня самого ни у кого эти скрипты не выполнялись и выполниться не могли. Тем более что там не было ни одного вредоносного скрипта. Возможно ты не знаешь, но любую уязвимость находят не телепатически, она становится реальным кейсом только после того, как ты проверишь ее работоспособность на самом себе либо же тестовом аккаунте. Поэтому специалисты по безопасности называются тестировщиками, а не хакерами по вызову.

Эксплуатация: создаются публичные предметы мастерской. В них инжектится скрипт заведомо опасного характера либо какой нибудь дефейс и проигрывание веселой музычки, ну и как правило скрипт самораспространения, заставляющий пользователя делиться этим предметом с друзьями. Уже спустя менее чем час на это натыкается кто нибудь, кто умеет нажимать ПКМ и смотреть исходный код страницы, после чего уязвимость становится общеизвестной и каждый третий начинает ее абузить с целью просто попиариться. Если бы такой сценарий действительно произошел, ты бы уже знал обо мне, а я бы был забанен еще год назад. Как вариант вредоносного скрипта (я уже упоминал), скрипт, который скупает от лица пользователя твои предметы мастерской по завышенным ценам. Я не black hat, поэтому меня такие развлечения не очень интересуют.

Попробуй найди правило сообщества, под которое попадает мой случай. Правила "Недонесение об уязвимости" там нету (впрочем, это и не мое решение).
Не исключено, что меня приняли за другого человека, который мог найти и использовать уязвимость позднее, может что-то из того, что я написал в статье. С таким фидбеком, как у вольво, это навсегда останется загадкой.

Ответить

Alex Belolipeckiy

0

Лол ты же сам виноват ,чего ты ожидал ?

Ответить

Сергей Романович

Alex
9

Специально выделил ключевые слова жирным. Уязвимость НЕ БЫЛА использована, в течение года никто не вспоминал о ее существовании, пока предположительно кто-то из администраторского состава не открыл мой скрытый(!) удаленный(!!) воркшоп предмет. Возможно ты не знаком с тем, как обычно реагируют на такие вещи разработчики. Во ВКонтакте, например, связываются с тобой и просят пояснить за прикол, если ничего критического не произошло, то могут даже попросить отписать на hackerone (чтобы выплатить потом награду). В стиме же молча банят, а потом морозятся не называя даже банально причины. Я описал выше к чему приводит такая политика.

Ответить

Илья Середа

Сергей
–3

Это демократия по европейски - привыкай ;-) Такое твориться не только в Стиме и не только в игровой индустрии. Отношение гадкое к русскоязычным у англосаксонцев - грёбанные политики!

Ответить

noname

Alex
–4

Он ожидал что Гейб лично к нему домой приедет, руку пожмет, деньги даст и на работу возьмет.

Ответить

Сергей Романович

noname
10

Все гораздо проще. Конкретно от данного кейса я ничего не ожидал уже год, а в целом как минимум адекватной реакции и фидбека в подобных вопросах. Я уже как полтора года назад зарепортил разработчикам баг, позволяющий использовать любые паблик читы (в том числе и детектед) без какого-либо риска получить вак бан. Сказали "спасибо за репорт, разберемся". Пока не разобрались.

Ответить

WhiteCrow

Сергей
0

Респект за улучшение сообщества и попытку сделать Steam лучше. Но все равно возникает вопрос. Почему под основной учёткой? У меня есть рабочий Steam для игры которые я делал, а есть свой. Почему не делать акк Steam для поиска уязвимостей?

Ответить

Сергей Романович

WhiteCrow
0

У меня есть отдельная учетка для поиска уязвимостей в играх, но тут я не подумал о рисках. Тем более что за месяц до этого кто-то слил XSS и в ленте активности любого пользователя весь день играла громкая музыка, фон сменялся эпилептическими картинками и уязвимые записи самораспространялись. Никого тогда не побанили, я и подумал что за поиск уж тем более не будет ничего, везде на это нормально реагируют.
К слову, у друга был не один аккаунт (он как и многие фармил карточки), забанили все, с которых он заходил с одного айпи.

Ответить

evilnw

2

Потом опять выясниться, что бан прилетел за дело? А то в прошлом посте тоже всё начиналось "Триклятый Габен забанил меня за то, что я такой святой", а закончилось тем, что пользователь "кушал детей".

Ответить

Ёклный Бабай

evilnw
2

Ну конкретно этот пользователь точно невиновен, а если что и было - так ето брат иго зашел паиграть.

Ответить

evilnw

Ёклный
0

во... Уже выясняется, что "брат зашел поиграть". Потом не окажется, что братик торговал читами в CS:GO? :)

Ответить

Сергей Романович

evilnw
0

Знаю несколько чит-девелоперов, чьи мейн аккаунты чисты несмотря на их известность. Это чисто для справки.

Ответить

Сергей Романович

evilnw
0

Если отпишет кто-то из русскоязычных разработчиков (что маловероятно), то мне и самому интересно за какое дело. В противном случае вряд ли, иначе ты бы уже про меня знал.

Ответить

Parrot

Сергей
0

За нарушение правил сообщества. За отсутствие репорта.
За использование уязвимости, без своевременного оповещения.
За внедрение скрипта и привязку к обычному аккаунту, без отчета перед саппортом.
Продолжать или прекратишь этот водевиль?

Ответить

Voen

Parrot
0

Нарушение условий лицензионного соглашения, не понятно почему автор так переживает, его вполне могут взять на работу в Valve.

Ответить

Сергей Романович

Parrot
0

1), 2) - уже отвечал выше.
3) В самой статье я описал, что было бы, если бы я действительно использовал эту уязвимость даже на ограниченном кругу людей (как правило, и в данном случае тоже, достаточно было бы изучить код зараженной страницы, чтобы все это повторить. Дальше уже геометрическая прогрессия и очередной инфоповод).
4) Внедрение ничего не делающего скрипта в скрытый удаленный предмет мастерской, вероятно, достаточные основания для пермача, учитывая что единственный, у кого скрипт выполнялся - я сам. Про отчет перед саппортом - звучит глупо. Саппорт у Steam есть чтобы был, он и по более близким им вопросам редко может помочь.

Продолжай, если есть о чем.

Ответить

Parrot

Сергей
–3

4) Алеша, это нарушение правил сообщества, и поэтому все равно, что скрипт выполнялся только на твоем аккаунте.
3) Ты скомпрометировал основной аккаунт. Тебе его забанили. Вполне нормальная практика удалять или банить "тестовые аки" с которых проводилась проверка безопасности.
При этом ты "морозился" год не репортя о найденной уязвимости, но тебе должны сразу ответить и пояснить, ога.

Ответить

Сергей Романович

Parrot
0

4) Как я понял, ты банально не знаешь что такое уязвимость, и чем эксплуатация отличается от исследования.
3) В стиме может и нормальная. Именно поэтому любая уязвимость в стиме становится достоянием общественности.
Почему лично я не репортил описано выше. Но все же добавлю, что обязывающих репортить баги правил в соглашении нету. Запрещена эксплуатация, которой не было.

Ответить

Parrot

Сергей
–1

3) И фейсбук просто так создал тестовые акки, ога.
4) Т.е. ты просрал все разумные сроки для исследования, не отрепортил, но это я не понимаю.
"Я исследоваль" работает только тогда, когда ты отрепортил. В остальных случаях ты хрен с горы который нарушает соглашение и т.п.
С тем же успехом можешь проникнуть на секретный объект и потом, когда тебя поймают, говорить, что ты просто тестировал систему безопасности, а не со злым умыслом. Только тебя все равно привлекут к ответственности, за проникновение.

Дядь, ты давно тест на здравомыслие и логику проходил?

Ответить

Сергей Романович

Parrot
0

3) Чего?)
4) Уже было. Неудачное сравнение. Веб-сервера и программное обеспечение - не секретный объект. Нередко обнаружение уязвимости может произойти неосознанно. Например, если рядовой пользователь напишет отрицательное число в графу, которая слепо рассчитана на положительные числа, и тем самым положит базу данных (такой баг был на сайте Первого канала). В таком случае его не банить нужно, а разобраться в ситуации. Вот если он будет это повторять с явным желанием положить базу, и от этого будут страдать рядовые пользователи, тогда к нему действительно следует применить санкции.

Более корректным сравнением будет такое:
Друг под другом расположены публичный объект, и секретный подвал. Но увы, пол и перекрытия публичного объекта частично сделаны из картона, и если на них наступить, ты неизбежно провалишься в секретный подвал.
Сообщить о проблеме может и будет более правильным решением, чем подняться и забыть об этом случае, но здесь, опять же, могут быть свои обстоятельства.

Ответить

Parrot

Сергей
–1

Ты каждым постом пытаешься показать, что ты "невиноватая".
Но по твоим действиям с аккаунтом и предметом в сторе, видно, что ты сделал все осмысленно. Поэтому все сравнения со случайными происшествиями, откровенное вранье. Своевременного багрепорта нет. А твой "скрипт", это потенциальная эксплуатация дыры.
Узнав о дыре, ты не обязан репортить вольво, но поиграв в кулхацкера ты ставишь себя в положение, что ты либо злоумышленник, либо обязанный отрепортить тестер. Если ты не репортишь, вольва в праве тебя заблокировать.
Поэтому можешь лососнуть тунца и не отсвечивать в моих нотификейшенах.

Ответить

Сергей Романович

Parrot
0

Я хоть и пытаюсь здесь придерживаться нейтрального стиля и не переходить на личности, но ты, конечно, тот еще мудень, уж извини.

Во всяком случае мне доставляет некоторое удовлетворение отвечать таким как ты. Тем, кто с предметом обсуждения знаком поверхностно, либо не очень внимательно читал оп-пост.
Даже в классических преступлениях, которые ты регулярно приводишь в пример, нет понятия "Потенциальный преступник". Никого еще не посадили за наличие мотива и возможность. Наказывают только за совершенное действие. Удивительно, но во всех известных мне сервисах (за исключением стима) это так и работает.

Про игру в кулхацкеров я тебе уже отвечал. Никто от тестирования уязвимости НА САМОМ СЕБЕ в скрытом(!!!!!!) сразу же удаленном (!!!!!!!!!!!!!!!!!!) предмете мастерской даже при сильном желании пострадать не может. Чего уж говорить, учитывая что ничего вредоносного я и не тестировал.

Все равно что дома у друга дать самому себе по лицу, а потом сесть за нанесение тяжких телесных.

Ответить

Parrot

Сергей
–3

GTFO

Ответить

Филипп Телегин

0

Вот так вот покупаешь игры а тебе дают бан на 20 лет, ты плюешь на все и идёшь на Чёрную жемчужину бороздить просторы пиратства.

Ответить

Ёклный Бабай

Филипп
0

Ну не надо драматизма.

Человек пытался внедрить свой скрипт, практически троян, а получил всего бан коммьюнити. Магазин, библиотеку или возможность играть он-лайн это не затрагивает.

Ответить

Сергей Романович

Ёклный
0

практически троян

Держи в курсе. Удивляюсь, как некоторые накручивают какие то предположения, о которых нет ничего ни в тексте, ни по факту.
К гейм координатору доты, ксго и тф2 я подключиться уже не смогу. Не самая большая потеря в первых двух случаях, а вот в тф я порой поигрывал. Точно так же не смогу поиграть в игры с друзьями, банально инвайт отправить не смогут.

Ответить

Ёклный Бабай

Сергей
0

позволяющая внедрить ваш собственный клиентский JS код в страницу, и как следствие выполнить любое действие или порядок действий от имени пользователя, открывшего уязвимую страницу.

сделал простой скрипт, оставлявший в моем профиле +rep), проверил его на самом себе

случайно наткнулся на удаленный(!) предмет мастерской (а они могут их смотреть), и у него выполнился тот скрипт

бла-бла-бла

Скажите спасибо Вольвам, что только бан. Я бы сразу составил заявление заявление в "К" и уже через часик вас бы встречали из школы незнакомые люди.
Найти, если конечно вы не ходили в стим через пару впн и никогда ничего не покупали, труда не составит.

А байку о "благородстве" оставьте родителям и им рассказывайте о "шалившем выдуманном брате/друге/кошке на клавиатуре". В качестве образца можете взять схожие "объяснительные"от одноклассников появляющиеся сотнями в день на форуме того-же Steam.

банально инвайт отправить не смогут

Всё правильно, "нехороших" людей надо изолировать. В любом случае, наверное, никто не мешает им сами делать это :)

Ответить

Сергей Романович

Ёклный
0

Еще один любитель вырывать фразы из контекста. Зачем комментируешь, если в предмете обсуждения разбираешься чуть менее чем никак?

Ответить

Ёклный Бабай

Сергей
–2

Ну куда мне до школоты насобиравшей псевдохаков с кульхацкерских форумов.

Ответить

Сергей Романович

Ёклный
0

Искренне надеюсь что ты просто троллишь.

Ответить

Vadim Semenov

0

Ну то есть при нахождении такой уязвимости более логично, выгодно и безопасно получается просто продать ее, а не сообщать разработчикам. :)

Ответить

Parrot

Vadim
–2

Ноуп, а автора много воды для созания видимости "невиноватая я, оно само"
По факту:
Автор используя уязвимость, всковырнул аккаунт, после этого спустил все на авось. Не отправляя своевременный репорт.
А теперь ему должны поверить, что за прошедший год, он никому не слил, и не пробовал сам использовать. Ведь он честна-честна говорит. И что багрепорт задним числом через год, это не попытка отмазаться, а истина.

Короче автор сам себе злобный буратино. Или вообще твинк Kaby.

Ответить

evilnw

0

У стима уже давно есть канал для репорта уязвимостей. http://www.valvesoftware.com/security/ . Странно, что автор этого не знал или даже не пытался загуглить.

Ответить

Сергей Романович

evilnw
3

Знал, лично пробовал ранее, не работает и фидбека никакого нету. (Через форму на сайте - вообще мертвое дело).
И все же я постарался максимально детально описать ситуацию, чтобы не возникало таких вопросов. Первым обнаружившим был мой друг, поэтому репортить это без его разрешения - неэтично и чревато прекращением дружбы. Лично я постарался бы все же донести проблему через известные мне попеременно рабочие каналы.

Ответить

EeRy Moth

Сергей
2

Друга своего тряси, если сам действительно чист.

Ответить

Parrot

Сергей
–7

Неэтично, прекращение дружбы, блаблабла.
Наслаждайся заслуженным баном.
На статью бы повесить предупреждение, о том, что статья недостоверна и может ввести в заблуждение.

Ответить

Pavel Tsarev

1

Сорян, я пас, мне одного поста хватило :)

Ответить

Mikhail Kashkin

1

Я вломился в чужую собственность, но решил ничего не красть. Делать с этим ничего не стал, думал никто не поймает за руку.

Спустя год.

Охрана таки посмотрела на камеры и запретила мне ходить в их заведение на 20 лет. Все там дураки и неадекваты, должны были меня простить, ведь я же мог еще и насрать там, но не сделал этого.

Ответить

Сергей Романович

Mikhail
0

Не очень корректное сравнение. Выше уже дважды писал, что единственный способ найти уязвимость - проверить ее работоспособность на самом себе либо своем тестовом аккаунте (если требуется взаимодействие двух). В противном случае это лишь гипотеза о существовании уязвимости. Если так посудить, то любой black-hat хакер или штатный тестер уже должен дежурить у параши.

Ответить

Inquisitor

–3

в голосину, то есть сначала вы нашли уязвимость, потом ты написал скрипт что бы ей воспользоваться, а из-за того что у стима нет баг баунти вы подумали и решили что не будете ничего им сообщать об этой уязвимости, еще и угрозы разработчику в письме, well done
очередной белый и пушистый кулхацкер, кого там еще несправедливо в стиме забанили? следующий пожалуйста

Ответить

Сергей Романович

Inquisitor
1

На большую часть обвинений (особенно про "чтобы воспользоваться") я ответил выше.
А вот:
еще и угрозы разработчику в письме

Лол? Ты откуда это взял?

Ответить

Inquisitor

Сергей
–2

я бы просто сделал скрипт на покупку моих предметов с торговой площадки по завышенным ценам, и делал бы это массово

не стоит отмазываться

Ответить

Сергей Романович

Inquisitor
0

Вырывать из контекста круто клево.
если бы моей целью действительно была бы эксплуатация уязвимости, я бы просто сделал скрипт на покупку моих предметов с торговой площадки по завышенным ценам, и делал бы это массово.

Ну во первых, это было бы достаточно прибыльное занятие, чтобы впоследствии плакать об утраченном аккаунте. Я бы тогда смог себе позволить не один десяток таких.
Ну и во вторых. Слышал прежде о подобном? Вряд ли. А это был бы достаточно грандиозный инфоповод, и мимо тебя бы не прошел.

Ответить

Inquisitor

Сергей
0

кул стори

Ответить

Валентин

0

Отлично расписана часть статьи про уязвимость!
Я думаю, что можно такое, с подробностями, на хабре написать. Было бы интересно почитать.

Ответить

Дима Думбраван

0

Я не понял, репорт на баг то был? Нашли уязвимость, опробовали ее и не стали сообщать, ибо нет вознаграждения?

Ответить

Alek

Дима
0

Меркантильные сволочи!

Ответить

Христо Стоичко

0

Ты сильно не расстраивайся, за тебя казахи уже отомстили габену: https://dtf.ru/12717-igroki-soobshchili-o-blokirovke-soobshchestva-steam-v-kazahstane.

Ответить

Владислав Спивак

0

Автор молодец, без шуток. Просто цари царской платформы не приемлют, чтобы холопы что-то да находили.

Ответить

Gassan Abdurahman

0

В юности, занимался отловом подобных людей в одной мморпг. И каждый чёрт, что нещадно эксплуатировал уязвимости, верещал что он только попробовал и хотел рассказать. Не надо скулить, когда за хвост поймали. Поделом тебе.

Ответить

Сергей Романович

Gassan
0

Опять не очень корректное сравнение. Stored XSS, в отличие от ингейм багов, имеет глобальный характер (особенно в данном случае). Ее не выйдет поюзывать, а потом попасться. Почему? Загугли что такое XSS, прежде чем делать выводы. Если бы она была использована, ты бы уже знал обо мне, как определенные люди знали о Kaby.

Ответить
0

Прямой эфир

Подписаться на push-уведомления
[ { "id": 1, "label": "100%×150_Branding_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox_method": "createAdaptive", "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "ezfl" } } }, { "id": 2, "label": "1200х400", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "ezfn" } } }, { "id": 3, "label": "240х200 _ТГБ_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fizc" } } }, { "id": 4, "label": "240х200_mobile", "provider": "adfox", "adaptive": [ "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "flbq" } } }, { "id": 5, "label": "300x500_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "ezfk" } } }, { "id": 6, "label": "1180х250_Interpool_баннер над комментариями_Desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "clmf", "p2": "ffyh" } } }, { "id": 7, "label": "Article Footer 100%_desktop_mobile", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fjxb" } } }, { "id": 8, "label": "Fullscreen Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fjoh" } } }, { "id": 9, "label": "Fullscreen Mobile", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fjog" } } }, { "id": 10, "label": "Native Partner Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyb" } } }, { "id": 11, "label": "Native Partner Mobile", "provider": "adfox", "adaptive": [ "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyc" } } }, { "id": 12, "label": "Кнопка в шапке", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fdhx" } } }, { "id": 13, "label": "DM InPage Video PartnerCode", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox_method": "createAdaptive", "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "clmf", "p2": "flvn" } } }, { "id": 14, "label": "Yandex context video banner", "provider": "yandex", "yandex": { "block_id": "VI-250597-0", "render_to": "inpage_VI-250597-0-1134314964", "adfox_url": "//ads.adfox.ru/228129/getCode?pp=h&ps=clmf&p2=fpjw&puid1=&puid2=&puid3=&puid4=&puid8=&puid9=&puid10=&puid21=&puid22=&puid31=&puid32=&puid33=&fmt=1&dl={REFERER}&pr=" } }, { "id": 15, "label": "Плашка на главной", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "p1": "byudo", "p2": "ftjf" } } }, { "id": 17, "label": "Stratum Desktop", "provider": "adfox", "adaptive": [ "desktop" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fzvb" } } }, { "id": 18, "label": "Stratum Mobile", "provider": "adfox", "adaptive": [ "tablet", "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fzvc" } } } ]