Компания Valve, отвечающая за работу интернет-магазина Steam, заплатила $20 000 украинскому пентестеру Артему Московскому за обнаружение уязвимости. Пентестер или penetration tester — ИБ-специалист, проверяющий системы при помощи взлома.
В августе Московский нашел ошибку, позволяющую потенциальным злоумышленникам бесплатно генерировать лицензионные ключи. Проблема опиралась на Steam web API. На странице partner.steamgames.com/partnercdkeys/assignkeys/ необходимо было выставить одному из требуемых полей параметр «0». Использовать API можно было через обычные учетные записи. По словам Московского, в рамках теста он сгенерировал 36 000 лицензий на игру Portal 2.
Finally. https://t.co/uRUCfAPJro
— Artem (@mskwsky) October 31, 2018
Valve оперативно отреагировала на сообщение Московского и провела внутреннюю проверку. По данным компании, злоумышленники не успели воспользоваться сбоем в API. За баг украинскому пентестуру заплатили $20 000. Однако детали ситуации держали в секрете до 31 октября, после чего они появились в ветке, посвященной уязвимости.
Это далеко не первый случай, когда Московский получает деньги от Valve. Ранее компания неоднократно выплачивала ему вознаграждения за мелкие баги (до $1000), а в июле Московский получил $25 000 за уязвимость, которая открывала доступ к базе данных Steam.
Напомним, ранее AIN.UA сообщал, что в Днепре задержали хакера, продававшего вирусы через собственные закрытые сайты