Valve виплачують від 200$ до 7500$ за знаходження дір в безпеці CS2

Сьогодні стало відомо, що Valve виплачують від 200$ до 7500$ за знаходження дір в безпеці CS2, Dota та інших іграх на Source 2.

Valve, як і багато інших компаній, користуються платформою HackerOne для пошуку уразливостей у своїх іграх. Таким чином, вони економлять як на робочих спеціалістах, так і дають можливість незалежним хакерам поживитися та набратися досвіду.

ЧИТАЙТЕ ТАКОЖ: "Будь ласка, якщо у вас коли-небудь виникають думки про самоушкодження, або якщо вам просто потрібен хтось, з ким можна поговорити, не соромтеся" - північноамериканський Counter-Strike прощається з cynic

За останній рік Valve виплатили 2,236,250$ незалежним хакерам за знаходження уразливостей і дір безпеки за шість років перебування на платформі HackerOne.

Найцікавіше - це те, що гроші, які отримує хакер, надходять йому на гаманець Steam, а не безпосередньо на банківську картку.

drbrix повідомив Valve про уразливість 9 серпня. Вона працювала шляхом зміни електронної пошти облікового запису Steam так, щоб вона включала "amount100", і перехоплюючи POST-запит для транзакцій, що використовують метод оплати Smart2Pay, щоб змінити суму з, скажімо, $1 на $100.

Я думаю, наслідки досить очевидні, нападник може генерувати гроші, порушити ринок Steam, продавати ключі від ігор за низькою ціною.

Співробітник Valve, JonP, подякував drbrix за точний звіт про уразливість, підвищивши його серйозність до критичного рівня і виплативши відповідну винагороду. Valve не розкрила, чи була уразливість використана до її виправлення.

   

drbrix отримав $7,500 за свою роботу, тоді як Microsoft в середньому виплачує більше $10,000 за подібні відкриття, з максимальною нагородою у $200,000.

Крім того, Valve нещодавно оновила свій YouTube-канал рекламою Steam Deck, вперше за вісім місяців.