Украинец получил 20 тысяч долларов за то, что нашел уязвимость в Steam

Компания Valve выплатила вознаграждение в размере 20 тысяч долларов украинскому исследователю безопасности Артему Московскому, который обнаружил слабое место в сервисе цифровой дистрибуции Steam, пишет ITC.

Данная уязвимость позволяла получать доступ к ключам активации к любой игре.

В чем суть уязвимости

Уязвимость связана со Steam Web API. Ее суть в том, что подстановка «0» вместо истинного значения одного из параметров на странице partner.steamgames.com/partnercdkeys/assignkeys/ позволяла получить доступ к кодам активации.

Причем однажды получив доступ к форме, можно было получать коды к различным играм, просто меняя ID.

Стоит отметить, что в интервью изданию The Register Артем рассказал, что в одном из случаев он вбил в запрос произвольный ID и получил 36 тысяч рабочих кодов активации для игры Portal 2, которая до сих пор продается в магазине Steam за 9,99 долларов.

К счастью для Valve, Артем оказался добросовестным человеком. Он не стал торговать кодами, на которых потенциально мог заработать гораздо больше, а сообщил об уязвимости разработчикам через платформу HackerOne, объединяющую коммерческие фирмы и исследователей безопасности.

К слову, исследователь отправил отчет еще в начале августа и спустя три дня получил 20 тысяч двумя платежами по 15 тысяч и 5 тысяч долларов соответственно.

Интересно, что это не самое крупное вознаграждение, полученное Артемом за обнаружение уязвимостей. В июле он заработал 25 тысяч долларов за обнаружение ошибки, позволяющий получить доступ к базе данных Steam.