Пользователя Steam заблокировали до 2038 года за найденные им уязвимости

[james_sun 12 367]

Пользователь Steam обнаружил уязвимость в защите сервиса Steam, за что получил бан на двадцать лет.

Ему не помогло даже участие в переводах.

Ресурс DTF побеседовал с юзером под ником Kaby и узнал детали произошедшей драмы.

Началось все с того, что Kaby нашел в Steam возможность блокировать участников сообщества в обсуждениях даже в том случае, если они в них никогда не участвовали. То есть модератор любого из игровых центров Steam мог блокировать любого геймера, даже если тот нигде не оставлял комментариев. Все, что нужно для этого сделать — заменить идентификатор поста в коде страницы.

Как любой порядочный гражданин, Kaby сообщил о своей находке в техподдержку, однако уязвимость не устранили даже за несколько месяцев. Чтобы хоть как-то расшевелить сотрудников Valve, Kaby заблокировал друга (с согласия последнего), за что получил бан продолжительностью в шесть месяцев. В качестве причины бана сотрудник по имени Джек назвал злоупотребление функциями сервиса.

Но на этом сердобольный пользователь не успокоился, и в апреле нашел еще один баг Steam, на этот раз связанной с системой самоблокировки аккаунта Self-locking tool, позволяющей ограничить возможности своего профиля в том случае, если доступ к нему получили посторонние. В этой ситуации для восстановления аккаунт необходимо перейти по ссылке в письме, подтверждающем блокировку, или ввести из него соответствующий код.

Kaby написал в техподдержку и сообщил, что он не может восстановить свой аккаунт по обозначенному коду, но если вести пароль в верхнем регистре, то система его примет. Пользователю пообещали, что программисты займутся данной проблемой.

Спустя какое-то время Kaby решил проверить, как там поживает найденный им баг, но вместо этого нашел еще один. Если заблокировать собственный акк, а затем перейти по ссылке для снятия ограничений, можно запросто избавиться от временного бана в Steam. Естественно, юзер вновь отправился в техподдержку и честно сообщил о своей находке, где ему выдали бан за то, что его запрос посчитали повторяющимся.

Кроме того, за то, что Kaby разбанил сам себя, ему еще и выписали перманентное ограничение. Пользователь пробовал несколько раз обратиться в техподдержку, но его игнорировали. После этих многочисленных запросов со страницы Kaby в Steam исчезло все содержимое, а сам профиль был изъят из публичного просмотра. Попытавшись внести изменения в профиль, пользователь увидел, что его акк заблокирован аж до 2038 года.

В русскоязычном сообществе Steam несчастному сообщили, что бан этот выдан обоснованно и снят не будет.

Зато, обратившись в техподдержку, Kaby узнал, что тот самый эксплойт со снятием бана через инструмент самоблокировки все же устранили.

[CyberPioneer 2 476]

Так вот они какие "русские хакеры" :D

[demortius 591]

Банил бы недругов по тихому и горя не знал, а так за честное признание сам бан получил)) Никто не любит сильно умных людей. А умных и честных ненавидят и убивают. Повезло ещё ему, что он не архив ФСБ или ЦРУ взломал.

[TittyTwister 1]

Такие данные надо злоумышленникам за бабки продавать и наживаться на этом, если уж такой крутой хацкер.

[asdbanz 11]

Первый баг напомнил случай, когда я модератора на одном сайте заставил удалить его собственную тему, которая была только создана. Не знаю, догадался ли он тогда, что я ему скинул за ссылку или нет, но больше я так не делал.

[Фри 4 822]

слишком много Случайностей и Совпадений...

найти баг позволяющий банить , потом случайно найти баг позволяющий восстанавливать акки, потом найти баг позволяющий снять бан...

неужели кто-то верит в такую череду случайностей?) :D

[Lamurchik 291]

Никто не любит сильно умных людей. А умных и честных ненавидят и убивают. Повезло ещё ему, что он не архив ФСБ или ЦРУ взломал.

А гугл дал бы денег за фидбек по подобной уязвимости.

[demortius 591]

А гугл дал бы денег за фидбек по подобной уязвимости.

Поэтому ещё не весь мир в тартарары полетел) Остались и исключения. Как мне препод сказал "любая абсолютизация в нашем относительном мире является ложью" :)

[DeXTeR26 7]

Зачем платить\поощрять за найденные уязвимости, если можно просто забанить?

[Damask90 47]

такие недомодеры повсюду, и тут и на пг и в стиме и в торрентах и тд, и самое главное что они тощие которые зассут сфоткать свой паспорт и выложить тому кого забанили)

[SkalderSan 3 910]

слишком много Случайностей и Совпадений...

найти баг позволяющий банить , потом случайно найти баг позволяющий восстанавливать акки, потом найти баг позволяющий снять бан...

неужели кто-то верит в такую череду случайностей?) :D

И не говори.

[Roadman 447]

самое главное что они тощие которые зассут сфоткать свой паспорт и выложить тому кого забанили)

Это здравомыслие, как бы. Не представляю каким нужно быть дебилом, чтобы отправлять свои паспортные данные какому-то анониму в интернете.

[Bkmz 2 173]

Атупые до сих пор верят, что ЕА это худшая компания в игропроме...

[flexorus 22]

такие недомодеры повсюду, и тут и на пг и в стиме и в торрентах и тд, и самое главное что они тощие которые зассут сфоткать свой паспорт и выложить тому кого забанили)

Всегда во время, например, споров в интернете скидываешь свой паспорт оппоненту?

[Rost1 63]

Его забанили русские представители тех. поддержки стима или все же американцы из главного офиса? А то частенько русская тех. поддержка является дном. Печально, но факт.

А вообще в стим странно банят. Когда есть прямое нарушение и указываешь на него, то никого не банят и не не удаляют контент, нарушающий правила сообщества. Зато могут впихнуть временный бан за какую-нибудь мелочь, например за комменты +1 и подобные, они тоже нарушают правила сообщества.

Такие данные надо злоумышленникам за бабки продавать и наживаться на этом, если уж такой крутой хацкер.

Тут ничего хакерского нет. Человек честно все нашел и сообщил, чтобы улучшили систему, а его просто пнули. После такого можно обидеться и сломать все у них к чертям. История знает примеры подобных взломщиков.