Украинец нашел в Steam уязвимость, открывающую доступ к ключам активации любой игры. В благодарность Valve выплатила ему $20 тыс.

Украинец нашел в Steam уязвимость, открывающую доступ к ключам активации любой игры. В благодарность Valve выплатила ему $20 тыс.
Компании достаточно часто выплачивают вознаграждения за обнаружение уязвимостей в их продуктах. И вот стало известно, что Valve выплатила вознаграждение в размере $20 тыс. украинскому исследователю безопасности Артему Московскому за обнаружение уязвимости в сервисе цифровой дистрибуции Steam, позволяющей получать доступ к ключам активации к любой игре.Да, об уязвимости и выплате было объявлено еще 31 октября, но сообщение в плотном потоке других новостей ускользнуло от нашего внимания, поэтому пишем об этом только сейчас, так как написать об этом определенно стоит.Finally. https://t.co/uRUCfAPJro— Artem (@mskwsky) October 31, 2018Говоря об уязвимости, она связана со Steam Web API. Ее суть в том, что подстановка «0» вместо истинного значения одного из параметров на странице partner.steamgames.com/partnercdkeys/assignkeys/ позволяла получить доступ к кодам активации. Причем однажды получив доступ к форме, можно было получать коды к различным играм, просто меняя ID.Чтобы вы понимали, насколько все серьезно. В интервью изданию The Register Артем рассказал, что в одном из случаев он вбил в запрос произвольный ID и получил 36 тыс. рабочих кодов активации для игры Portal 2, которая до сих пор продается в магазине Steam за $9,99.К счастью для Valve, Артем оказался добросовестным и порядочным человеком. Он не стал торговать кодами, на которых потенциально мог заработать гораздо больше, а сообщил об уязвимости разработчикам через платформу HackerOne, объединяющую коммерческие фирмы и исследователей безопасности. К слову, исследователь отправил отчет еще в начале августа и спустя три дня получил $20 тыс. двумя платежами по $15 тыс. и $5 тыс. соответственно.Что интересно, это не самое крупное вознаграждение, полученное Артемом за обнаружение уязвимостей. В июле он заработал $25 тыс. за обнаружение ошибки, позволяющий получить доступ к базе данных Steam.И как тут не вспомнить историю о том, как «Киевстар» предложил пользователю за пароли к его корпоративным системам всего $50.Источник: The Register
Stfw.Ru
Читайте также


Оставить комментарий
Имя:  

Комментарий:

В Госдуму внесли законопроект об автономной работе РунетаМОСКВА, 14 декабря. /ТАСС/. Группа парламентариев внесла в пятницу в Госдуму законопроект об обеспечении автономной работы российского сегмента интернета в случае отключения от глобальной инфраструктуры мировой паутины. Информация об этом размещена в электронной базе данных Думы.Авторами инициативы выступили глава комитета Совета Федерации по конституционному законодательству и госстроительству Андрей Клишас, его первый заместитель Людмила Бокова и депутат Госдумы Андрей Луговой. Документ подготовлен "с учетом агрессивного характера принятой в сентябре 2018 года стратегии национальной кибербезопасности США", в которой декларируется принцип "сохранения мира силой", а Россия в числе прочих стран "впрямую и бездоказательно обвиняется в совершении хакерских атак".
Предусматривается создание инфраструктуры, позволяющей "обеспечить работоспособность российских интернет-ресурсов в случае невозможности подключения российских операторов связи к зарубежным корневым серверам сети Интернет", отмечается в пояснительной записке, имеющейся в распоряжении ТАСС.Законопроектом определяются необходимые правила маршрутизации трафика и организуется контроль их соблюдения. "Создается возможность для минимизации передачи за рубеж данных, которыми обмениваются между собой российские пользователи", - подчеркивается в сопроводительных материалах к инициативе. Кроме того, определяются трансграничные линии связи и точки обмена трафиком. "Их владельцы, операторы связи обязываются при возникновении угрозы обеспечить возможность централизованного управления трафиком.Предусматривается возможность установки на сетях связи технических средств, определяющих источник передаваемого трафика. Технические средства должны будут обладать возможностью ограничить доступ к ресурсам с запрещенной информацией не только по сетевым адресам, но и путем запрета пропуска проходящего трафика", - говорится в пояснительной записке.Национальная система доменных имен"В целях обеспечения устойчивого функционирования сети Интернет создается национальная система получения информации о доменных именах и (или сетевых адресах) как совокупность взаимосвязанных программно-аппаратных средств, предназначенных для хранения и получения информации о сетевых адресах в отношении доменных имен, в том числе включенных в российскую национальную доменную зону, а также авторизации при разрешении доменных имен", - указывается в документе. Требования к национальной системе доменных имен, порядок ее создания, а также правила ее использования будет определять Роскомнадзор.Вводится необходимость проведения регулярных учений среди представителей органов власти, операторов связи и владельцев технологических сетей по выявлению угроз и отработке мер по восстановлению работоспособности российского интернет-сегмента.Согласно документу, порядок централизованного реагирования на угрозы работоспособности интернета и сети связи общего пользования центром мониторинга и управления определяет правительство РФ. Меры реагирования будут определяться в том числе "в ходе мониторинга функционирования технических элементов сети связи общего пользования".
http://stfw.ru


Примечание: При комментировании материала просим соблюдать законы Российской Федерации. Пожалуйста, воздержитесь от оскорблений и токсичного поведения.

Сводка событий

14:12 Microsoft удалит My People из Windows 10


14:12 США хотят лишить Россию сильной армии, заявил американский экс-посол


14:12 Россия создала свою военную базу вблизи американской базы Ат-Танф


14:12 Новые правила пользования платными парковками в Москве вступят в силу 15 декабря. Вкратце: все подорожает. Сравнили московские цены на автопаркинг с другими европейскими столицами. Нравится?


14:12 Никки Хейли: моя политика в ООН заключалось в том, чтобы выдавать Трампа за умалишенного


14:12 Появились характеристики грядущего флагмана Huawei P30 Pro


14:12 Карта памяти SanDisk Ultra micro SD XC на 128 Гб всего за $21,99!


14:12 Xiaomi Redmi 7, Redmi 7 Pro и Redmi 7A прошли сертификацию в 3C


14:12 Micron Technology будет поставлять модули памяти LPDDR4x на 12 Гб для смартфонов на Helio ...


14:12 MIUI 10 можно установить во флагманы OnePlus 6 и OnePlus 6T


09:12 Космические скафандры: Россия на шаг обогнала США (Der Standard, Австрия)


03:12 СБУ: российские спецслужбы уже «закупают рекламу» через украинские аккаунты в соцсетях для вмешательства в грядущие выборы


03:12 Глава ASUS уходит в отставку, компания пересмотрит свою стратегию на рынке смартфонов и сосредоточится на игровых устройствах


События из мира ИТ