Кошелек Steam можно было пополнить на любую сумму — Valve уже исправила уязвимость

[SerGEAnt 19 811]

Фокус можно было провести, если в названии ящика содержалась фраза «amount100». Привязав такой ящик к аккаунту, нужно было пополнить баланс кошелька с помощью платежной системы Smart2Pay, воспользовавшись специальным эксплойтом, который мог менять сумму на любую другую.

---

В свежем обновлении Steam была исправлена уязвимость, за которую некий специалист по информационной безопасности под ником drbrix получил денежное поощрение в размере 7500 долларов. Найденная им уязвимость позволяла злоумышленникам увеличивать размер кошелька Steam.

Фокус можно было провести, если в названии ящика содержалась фраза «amount100». Привязав такой ящик к аккаунту, нужно было пополнить баланс кошелька с помощью платежной системы Smart2Pay, воспользовавшись специальным эксплойтом, который мог менять сумму на любую другую.

Valve подтвердила, что проблема действительно существовала, и поблагодарила drbrix за помощь, не сообщив, воспользовался ли кто-нибудь такой лазейкой для фактически безлимитного пополнения кошелька Steam.

[Парампампам 2 663]

7 минут назад, SerGEAnt сказал:

ником drbrix получил денежное поощрение в размере 7500 долларов

Очевидно, что исправление такой дыры стоит куда больше. Гейб на старости совсем жадным стал.

[lordik555 2 881]

Интересно, а EGS за подобные нахождения багов будет выплачивать?

[vadimklose 544]

Надеюсь этот эксплоит кто-то знатно поабуз, причем в больших количествах. А платить за подобные находки 7,5к баксов это просто смешно. Человек бы мог заработать на одной продаже этого способа тысячи, если не сотни и миллионы долларов, но нет, он порядочно сообщил, а взамен получил грош. Впрочем ничего нового, Валв в своем репертуаре. 

[lordik555 2 881]

3 минуты назад, vadimklose сказал:

Надеюсь этот эксплоит кто-то знатно поабуз, причем в больших количествах. А платить за подобные находки 7,5к баксов это просто смешно. Человек бы мог заработать на одной продаже этого способа тысячи, если не сотни и миллионы долларов, но нет, он порядочно сообщил, а взамен получил грош. Впрочем ничего нового, Валв в своем репертуаре. 

Это ещё максимальная выплата. Там начинается с 200$.

[vadimklose 544]

7 минут назад, lordik555 сказал:

Это ещё максимальная выплата. Там начинается с 200$.

Максимальная вроде 10к была.

[lost-odin 674]

1 час назад, vadimklose сказал:

Надеюсь этот эксплоит кто-то знатно поабуз, причем в больших количествах. А платить за подобные находки 7,5к баксов это просто смешно. Человек бы мог заработать на одной продаже этого способа тысячи, если не сотни и миллионы долларов, но нет, он порядочно сообщил, а взамен получил грош.

Хм, а должна ли порядочность, честность, доброта и т.д. очень хорошо продаваться/оплачиваться?)))
И тут мы начинаем вести сложные беседы о проблемах морали, припоминая историю и великих философов. Задавая себе три вопроса Канта и с опаской оглядываясь на Ницше.  Или нет)

Изменено 16 августа, 2021 пользователем lost-odin

[systemus 391]

2 часа назад, vadimklose сказал:

Надеюсь этот эксплоит кто-то знатно поабуз, причем в больших количествах. А платить за подобные находки 7,5к баксов это просто смешно. Человек бы мог заработать на одной продаже этого способа тысячи, если не сотни и миллионы долларов, но нет, он порядочно сообщил, а взамен получил грош. Впрочем ничего нового, Валв в своем репертуаре. 

Нет, он ещё и присесть мог. Так что Валв вполне порядочно с ним поступили.

[Freeman665 6 533]

2 часа назад, vadimklose сказал:

Впрочем ничего нового, Валв в своем репертуаре. 

произойди подобное в магазине нинтендо, срок этому специалисту был бы обеспечен. Так что согласен с комментатором выше — валв поступили нормально.

Изменено 16 августа, 2021 пользователем Freeman665

[vadimklose 544]

Ну да, и вот сразу видно что два оратора выше вообще без понятия, что такое интернет. 

Для тех кто в танке: Валв лет с 8 назад (возможно больше, когда еще гард в Стиме вводили), дала на весь интернет клич, молв, попробуйте его сломать или найти любые эксплоиты. Со временем, к этому они так же добавили и их игры и сам стим со всеми вытекающими. Каждом нашедшему любую лазейку в любой их системе полагалась награда. Помню поначалу были новости, что некоторые хакеры даже по 70-100к у Валв заработали на поиске подобных ошибок. Так вот, с годами эта система поощрений никуда не делась. Валв регулярно платить тем, кто находит бреши в их сервисе/играх, другое дело, что большинство брешей крайне мелочны и о них никто не узнает кроме автора их нашедшего. Тут же просто кто-то слил в инет инфу об этом баге, по этому и появился такой резонанс и всеобщая огласка.

Так вот, выше я и писал как раз о том, что за подобные вещи, человеку полагалось куда больше 7,5 вечно зеленых, ведь эксплоит был очень и очень жесткий. 

П.С. Без негатива, все по факту.

[Freeman665 6 533]

13 минут назад, vadimklose сказал:

Так вот, выше я и писал как раз о том, что за подобные вещи, человеку полагалось куда больше 7,5 вечно зеленых, ведь эксплоит был очень и очень жесткий. 

откуда тебе знать, что и кому полагалось? Спец по эксплойтам? Или просто языком почесать прибежал, как обычно в любой теме про стим?

[Hellson 1 751]

19 минут назад, vadimklose сказал:

человеку полагалось куда больше 7,5 вечно зеленых, ведь эксплоит был очень и очень жесткий

Чем измеряется жёсткость и вывод о том, что полагалось больше 7.5к?

[vadimklose 544]

Ладно, это бессмысленный диалог. Говорить в очередной раз что-то людям которые не в теме и что-то доказывать — на этот  раз откажусь. Горохом об стенку проще пострелять. 

[Freeman665 6 533]

доказывать ничего не надо, достаточно ссылки, подтверждающей сказанное. Но зачем, когда проще строить из себя кулхацкера?