Valve заплатила 20 тысяч долларов за обнаружение бага, который позволял получать бесплатные игры в Steam

Компания сообщает, что злоумышленники им воспользоваться не успели.

В закладки

Портал Kotaku обратил внимание, что в конце октября Valve обнародовала информацию об уязвимости в Steam. О ней ещё в августе сообщил пентестер Артём Московский (penetration tester; специалист, который проверяет безопасность информационных систем при помощи взлома и поиска уязвимостей).

Эта ошибка позволяла потенциальным злоумышленникам, у которых есть доступ к вкладке разработчика, генерировать неограниченное количество ключей. Для этого нужно было использовать «подходящие параметры» ввода на странице /partnercdkeys/assignkeys. В разговоре с изданием The Register Московский подчеркнул, что при помощи бага он заставил систему сгенерировать 36 тысяч ключей к Portal 2.

За обнаружение бага Valve выплатила специалисту 20 тысяч долларов. Как показала проверка компании, злоумышленники не успели воспользоваться уязвимостью.

В конце августа редактор Kotaku Джейсон Шрайер рассказал про индустрию «охотников за ключами», которые обманывают разработчиков, чтобы получить бесплатные коды и продать их на нелегальных площадках.

Московский не первый раз находит уязвимости в Steam. В июле Valve выплатила ему 25 тысяч долларов за обнаружение бага, при помощи которого можно было получить информацию из базы данных.

#steam #valve

{ "author_name": "Александр Стрепетилов", "author_type": "editor", "tags": ["valve","steam"], "comments": 78, "likes": 126, "favorites": 6, "is_advertisement": false, "subsite_label": "gameindustry", "id": 31295, "is_wide": false, "is_ugc": false, "date": "Tue, 13 Nov 2018 09:37:21 +0300" }
{ "id": 31295, "author_id": 13168, "diff_limit": 1000, "urls": {"diff":"\/comments\/31295\/get","add":"\/comments\/31295\/add","edit":"\/comments\/edit","remove":"\/admin\/comments\/remove","pin":"\/admin\/comments\/pin","get4edit":"\/comments\/get4edit","complain":"\/comments\/complain","load_more":"\/comments\/loading\/31295"}, "attach_limit": 2, "max_comment_text_length": 5000, "subsite_id": 87855, "possessions": [] }

78 комментариев 78 комм.

Популярные

По порядку

Написать комментарий...
91

penetration tester

( ͡° ͜ʖ ͡°)

Кхм. Простите, не удержался.

Ответить
7

работаю с сфере тестирования и пенетрейшен тестинг один из самых сложных подвидов тестирования.

Ответить
12

Ага, причем не только в сфере тестирования софта, но и в сфере тестирования женщин.

Ответить
52

ну тут как повезёт ( ͡° ͜ʖ ͡°)

Ответить
1

Главное, что не в сфере double penetration testing.
( ͡° ͜ʖ ͡°)

Ответить
3

( ͡° ͜ʖ ͡°)

Ответить
0

Тестировать, так все порты.

Ответить
2

А ты неплох ( ͡° ͜ʖ ͡°)

Ответить
1

Ты говоришь как penetration tester?

Ответить
32

Не знаю получу ли я тут по голове за ссылки, но вот ссылка на статью автора в которой он рассказывает, как именно он нашёл баги и что они из себя представляют:
https://m.habr.com/post/421215/

Статья, кстати, ещё в октябре вышла

Ответить
7

Плюсую, сам хотел скинуть до захода в комменты. Странно что автор ссылается на котаку а не на хабр.

Ответить
7

Ох уж эти русские хакеры. На все горазды.

Ответить
13

В данном случае хакер был украинский

Ответить
40

Московский же

Ответить
0

Читал где-то, что Московский из Украины пентестер, причём, сегодня буквально

Ответить
0

Там в описании, как он нашел уязвимость: https://m.habr.com/post/421215/
Первый же запрос от него к API Steam с код страны UA, так что да, скорее всего украинский.

Ответить
0

Читал где-то что он Белорус

Ответить
0

Он с Украины, живет в Киеве. Вот с его твиттера https://twitter.com/mskwsky/status/1050405175075188738

That feeling when you do not want to leave Kiev. Thank you @HackenProof for cool events and especially after-parties ❤
13
Ответить
0

Без разницы, какая национальность у авторитета, главное, что в Законе.
АУЕ

Ответить
0

лоооооооооооооооол

Ответить
2

Украинский хакер с фамилией Московский? Это же ЗРАДА!

Ответить
2

Главу Закарпатской области зовут Геннадий Москаль, так что там зрада и похлеще бывает...

Ответить
1

Москаль как бы означает "солдат"

Ответить
2

Вы в каком веке живёте?

Ответить
1

А мне лично плевать что конкретно сейчас это слово считается ругательным. Мне все равно какой сейчас год. Меня волнует лишь что 100-200 лет назад когда появлялось и узаконивалось большинство фамилий, фраза "в москали забрали" означала что парня на 20 лет забрали в солдаты за какое нибудь прегрешение. Иногда большое, иногда надуманное. А когда (точнее если) возвращался, то его и называли "Васька Москаль", что и становилось фамилией. Оттуда же Москаленко и прочие похожие фамилии.

Неважно в каком веке человек живет, историю он знать должен. И не руководствоваться современной ему идиотией для принятия решений.

Ответить
0

Ну а раньше мужчину называли мужем, а войну - бранью. И что дальше?
По поводу фамилии - это пранк был, шутка, joke. Ну.

Ответить
0

Несмешная. И учитывая что я знаю откуда эта фамилия взялась, я к ней отношусь нормально. Так обыгрывать "зраду" для меня немного... кажется неинтеллигентным, и даже нетактичным. Хотя само слово можно и обыграть, но точно не так.

Ладно, о шутках. Анекдот. В свое время с этого анекдота ржали все на сходке клана Lineage 2, от львовян до москвичей, там и я его услышал. Рассказывался на украинском и в теории только на нем и должен.

Карпаты, перевал, ночь. Стоит одинокий мерзнущий милиционер (советское время). Едет одинокий ЗАЗ Запорожец (да... советское...). За рулем какой-то дедуля, мнется и что-то нервничает. Милиционер стопорит его, то да се, аптечка, права, все вроде на месте. Говорит откройте багажник - дедуля - "а может не надо?". Мент уже за табельное хватается. "Открывай счас же!". Дед открывает багажник. Там кровь-кишки-распидорасило. Мент хватает воздух (рассказчик тут в теории все рассказывает в лицах и показывает на себе и задыхается тоже). Снимает табельное с предохранителя и кричит "Что это!?". Дед, почти спокойно, "Та це ж москаль!". Мент прячет оружие в кобуру и ОЧЕНЬ грустным голосом: "Яке прикре самогубство...".

С анекдота ржали все. Всегда. Где б я не рассказывал. Украинцы и русские. Вплоть до 2014 года. Сейчас не смеется никто. Украинцы редко смеются при упоминании "москаль" или "солдат", русские внезапно перестали понимать украинский язык, даже те кто неделю еще в 2010м спокойно жил в Львове.

Так что нет. Несмешно.

Ответить
0

Окей. Чисто принципиально я загуглил:

Фамилия Москаль образована от аналогичного прозвища. Оно ведет свое начало от украинского нарицательного «москаль» - «выходец из Москвы (Московии)», «русский». В письменных источниках это слово употребляется с XVII века. Кроме того, в XVIII—XIX веках жители восточной Белоруссии и Украины москалями называли солдат армии Российской империи (в том числе и малороссов и белорусов). Соответственно, прозвище либо содержало указание на национальную принадлежность и место рождения основателя фамилии, либо на род его деятельности.

А теперь вопрос: исходя из указанных вариантов, как мы будем выяснять происхождение фамилии именно данного конкретного Геннадия Москаля.

Ответить
–7

Всё равно русский, он же что-то хорошее сделал

Ответить
3

Не важно, пьет или курит, главное чтобы человек был хор.... русский

Ответить
0

Ой! Кажется, это оказалось слишком сложно для людей

Ответить
0

Ой! Кажется я обкакался и не подаю виду

Ответить
0

Верно! Забыл, где нахожусь

Ответить
6

Что-то маловато они ему платят, за нахождение таких серьезных уязвимостей.. И лучше бы на работу взяли раз их собственные сотрудники не справляются....

Ответить
5

Valve - короли аутсорсинга, их, видимо, все устраивает.

Ответить
2

Да уж, тут пару нулей не мешало бы прибавить

Ответить
4

И пол царства в придачу

Ответить
1

Просто с недавних пор. Попал в вальв - перестал работать. Потому что нужно удержатся на рабочем месте что бы не разделить судьбу Боба ,о котором нельзя говорить.

Ответить

22

за уязвимость найденную тобой на DTF которая тебе помогает набирать минусы?

Ответить

3

Могу дать только стрелочкой вниз

Ответить

–23

Лучшее бы хл3 сделали))

Ответить
17

И не чинили баги, которые позволяли бы игрокам получать игры нахаляву, ага.
Да и халва 3 уже не особо нужна, ИМХО

Ответить
13

Ну да, valve же маленькая компания, которая не может одновременно баги чинить и игры разрабатывать

Ответить
3

Вопрос в необходимости ХЛ3. ХЛ2 успела за всё прошедшее время стать настоящей классикой игропрома, которой продолжение, как я считаю, не нужно несмотря на клиффхэнгер в конце второго эпизода.

Ответить
0

хз я за переиздание всез частей хл на новом движке

Ответить
0

Я не думаю, что от переиздания ХЛ2 на Сорс 2 будет много толка. Из того, что я прочёл, в этом движке самое большое изменение это облегчение работы модмейкеров, потому что в редактор было добавлено много полезных инструментов. С точки зрения игрового опыта ничего разительно отличного там не будет, кроме, разве, более глубокой проработки некоторых деталей. А вот ХЛ1 на Сорс 2 я бы точно хотел увидеть

Ответить
0

я вообще не про сорс, а про тот же анреал, было бы интересно

Ответить
0

Про первую часть тоже так думали.

Ответить
0

Весь второй эпизод не нужен, на первом можно закончить.

Ответить
0

Вообще говоря да, маленькая. Четыреста человек по информации на 2014-й год. Хотя это я так, позанудствовать.

Ответить
1

Хм. Я по предыдущим новостям решил, что у valve нет bounty программы. Читал истории тех кто заявлял о дырах в системе, их банили и вообще на них неадекватно как-то реагируют. Рад, что я ошибался.

Ответить
1

Я думаю, парень легально взламывает с одобрения валвов. А так, да, банют, если заюзал баг, хоть и сообщил о нём

Ответить
0

А удостовериться в наличии бага, не используя его? Парень который нашел дыру описанную в статье сгенерировал несколько тысяч ключей портала.

Ответить
1

Kotaku : DTF edition

Ответить
1

#слоуньюс

Мне кажется, заголовок стоило бы изменить на что-то типа "Valve заплатила 20 тысяч долларов за обнаружение бага, который позволял бесплатно получать любые игры в Steam"

Ответить
0

Дешевле его уже было бы на работу нанять, что они тупят

Ответить
6

ну может им проще платить 20к в пол года, чем каждый месяц

Ответить
1

вряд ли там такие зарплаты. да и изнутри он бы мог штопать баги быстрее наверняка

Ответить
5

Есть разница в мотивации между получением приза в 20к разовым платежом и работа в офисе за те же ~20к (хз сколько там кодеры получают) но уже в год, размазанными на каждый месяц зарплатой.

Ответить
1

Заметно больше 20 в код. 120 ближе к правде. Ну и тестеры =\= кодеры

Ответить
0

Это нормальная практика и очень многие так делают, что ты тупишь

Ответить
0

Редактор Kotaku Джейсон Шрайер близится к тому, чтобы стать вторым Кодзимой на этом сайте.

Ответить
0

Дак вот откуда брались все эти ключи к гта 5 за сто рублей...

Ответить
2

Сказали же - не пользовались этим багом. Гта 5 из-за ошибки при смене цены в стиме вместо 1999 стоила 19,99 рублей какое-то время. Очень многие успели урвать.

Ответить
1

Steam ключей GTA V нет. Разве что Region Free, но их по 100 рублей никто продавать не мог)

Ответить
0

В стиме есть Игра, и цена на нее. И да, игра действительно на старте продаж продавалась по 19.99 (в ру регионе)

Ответить
2

Так человек о ключах пишет:
Дак вот откуда брались все эти ключи к гта 5 за сто рублей...

В steam не ключи продаются же.

Ответить
0

А баг с возможностью вернуть игру хоть с 100 часами в ней до сих пор не пофиксили ;)

Ответить
3

сейчас проверим))

Ответить
0

Заголовок некорректный

Ответить
0

А чо сразу злоумышленникам? Тут в теме про бесплатного хитмана на иксбокс поцоны разъяснили, что багоюз это норма

Ответить
0

фу картинка с пикабу

Ответить
0

а вообще за такую находку надо не 20к отваливать а несколько мультов

Ответить

0

Прямой эфир

[ { "id": 1, "label": "100%×150_Branding_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox_method": "createAdaptive", "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "ezfl" } } }, { "id": 2, "label": "1200х400", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "ezfn" } } }, { "id": 3, "label": "240х200 _ТГБ_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fizc" } } }, { "id": 4, "label": "240х200_mobile", "provider": "adfox", "adaptive": [ "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "flbq" } } }, { "id": 5, "label": "300x500_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "ezfk" } } }, { "id": 6, "label": "1180х250_Interpool_баннер над комментариями_Desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "clmf", "p2": "ffyh" } } }, { "id": 7, "label": "Article Footer 100%_desktop_mobile", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fjxb" } } }, { "id": 8, "label": "Fullscreen Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fjoh" } } }, { "id": 9, "label": "Fullscreen Mobile", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fjog" } } }, { "id": 10, "label": "Native Partner Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyb" } } }, { "id": 11, "label": "Native Partner Mobile", "provider": "adfox", "adaptive": [ "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyc" } } }, { "id": 12, "label": "Кнопка в шапке", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fdhx" } } }, { "id": 13, "label": "DM InPage Video PartnerCode", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox_method": "createAdaptive", "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "clmf", "p2": "flvn" } } }, { "id": 14, "label": "Yandex context video banner", "provider": "yandex", "yandex": { "block_id": "VI-250597-0", "render_to": "inpage_VI-250597-0-1134314964", "adfox_url": "//ads.adfox.ru/228129/getCode?pp=h&ps=clmf&p2=fpjw&puid1=&puid2=&puid3=&puid4=&puid8=&puid9=&puid10=&puid21=&puid22=&puid31=&puid32=&puid33=&fmt=1&dl={REFERER}&pr=" } }, { "id": 15, "label": "Плашка на главной", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "p1": "byudo", "p2": "ftjf" } } }, { "id": 17, "label": "Stratum Desktop", "provider": "adfox", "adaptive": [ "desktop" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fzvb" } } }, { "id": 18, "label": "Stratum Mobile", "provider": "adfox", "adaptive": [ "tablet", "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fzvc" } } } ]
Узнавайте новости о мостах
Санкт-Петербурга первыми
Подписаться на push-уведомления