Компании достаточно часто выплачивают вознаграждения за обнаружение уязвимостей в их продуктах. И вот стало известно, что Valve выплатила вознаграждение в размере $20 тыс. украинскому исследователю безопасности Артему Московскому за обнаружение уязвимости в сервисе цифровой дистрибуции Steam, позволяющей получать доступ к ключам активации к любой игре.
Да, об уязвимости и выплате было объявлено еще 31 октября, но сообщение в плотном потоке других новостей ускользнуло от нашего внимания, поэтому пишем об этом только сейчас, так как написать об этом определенно стоит.
Говоря об уязвимости, она связана со Steam Web API. Ее суть в том, что подстановка «0» вместо истинного значения одного из параметров на странице partner.steamgames.com/partnercdkeys/assignkeys/ позволяла получить доступ к кодам активации. Причем однажды получив доступ к форме, можно было получать коды к различным играм, просто меняя ID.
Чтобы вы понимали, насколько все серьезно. В интервью изданию The Register Артем рассказал, что в одном из случаев он вбил в запрос произвольный ID и получил 36 тыс. рабочих кодов активации для игры Portal 2, которая до сих пор продается в магазине Steam за $9,99.
К счастью для Valve, Артем оказался добросовестным и порядочным человеком. Он не стал торговать кодами, на которых потенциально мог заработать гораздо больше, а сообщил об уязвимости разработчикам через платформу HackerOne, объединяющую коммерческие фирмы и исследователей безопасности. К слову, исследователь отправил отчет еще в начале августа и спустя три дня получил $20 тыс. двумя платежами по $15 тыс. и $5 тыс. соответственно.
Что интересно, это не самое крупное вознаграждение, полученное Артемом за обнаружение уязвимостей. В июле он заработал $25 тыс. за обнаружение ошибки, позволяющий получить доступ к базе данных Steam.
И как тут не вспомнить историю о том, как «Киевстар» предложил пользователю за пароли к его корпоративным системам всего $50.
Источник: The Register