mikhail_malashin Aug 2 2023 at 07:52

Аттракцион невиданной щедрости: как мы потеряли и раздали скинов из игры на миллионы долларов

Easy

6 min

5.5K

Information Security * Games and game consoles

Case

Comments 25

Hasthur Aug 2 2023 at 08:06

шибко умные хакеры

Не такой уж и "шибко умный", если в статье аж три вариации одного мема

Firsto Aug 2 2023 at 09:49

А что потом случилось со взломщиком?

mikhail_malashin Aug 2 2023 at 10:20

Лигал заявили о киберпреступлении в соответствующие органы. В настоящее время идет расследование. Этот процесс небыстрый, но мы уверены, что злоумышленника накажут по всей строгости закона.

Hlad Aug 3 2023 at 06:18

Ничего ему не сделают. Скорее всего, вы просто не сможете доказать достаточный финансовый урон.

Surrogate Aug 3 2023 at 07:09

Я в подобные игры не играю, мне трудно понять и поверить

хранилось 394 000 игровых предметов

Это всего было в вас в стоке. Сколько было украдено в штуках? если

в первую волну хакерской атаки компания потеряла $6 000 000

Может в полиции сотрудники, близкие к миру игр, но даже им будет трудно поверить в такую запредельную стоимость украденных артефактов!

Существует много разных милых увлечений: например коллекционирование пивных крышек. Среди коллекционеров отдельные экземпляры пользуются огромной ценностью.

Украв коллекцию из 394.000 крышечек ее будет трудно продать. Простому обывателю это не надо, круг таких коллекционеров невелик! Кто-то сможет купить коллекцию целиком, и годами скрывать у себе в гараже.

Ваши предметы так просто не утаишь! Вангую, что желающих купить все оптом и кульками как семечки очереди не стоят. Чтобы продать украденные артефакты, за те деньги что вы озвучили могут уйти годы…

Злоумышленник похоже сделал это just for lulz! Или украл, что-то конкретное под заказ, а остальные фантики просто рассыпал по району, чтобы была непонятна цель заказа.

Hait Aug 3 2023 at 07:14

Предметы КС:ГО продаются официально на торговой площадке стима. Цены там видны

Surrogate Aug 3 2023 at 07:38

Конечно, я об этом не мог знать, никогда не слышал! Не знаю об объемах этого рынка предметов.

Не знаю, реально ли в принципе продать оптом или по предметно примерно 400к предметов, которые существуют лишь в пространстве торговой площадки Steam.

Hait Aug 3 2023 at 07:45

Пример одного из предметов

Surrogate Aug 3 2023 at 09:44

@Hait, спасибо буду хоть знать нижнюю границу стоимости.

А то автор темы нагнал туману:

было 400к предметов
за сотню транзакций в первый день украли N предметов на 6M$!!!

Я грешным делом подумал: стоимость всей коллекции из 400к предметов равна ~~капитализации Apple~~ годовому бюджету маленькой латиноамериканской страны!!!

vikarti Aug 3 2023 at 10:29

Взломщик идиот?
Если после

Отыскав контакты злоумышленника, пришло время поговорить с ним лично. Коллега из маркетинга написал мошеннику в WhatsApp, прислал скриншоты, доказывающие, что тот раскрыт, и убедил хакера вернуть учётные данные от наших ботов. Вор вернул управление и рассказал, как ему удалось нас взломать.

Все вернул вот просто так и без хоть каких то гарантий, что этим все и ограниться?

Surrogate Aug 3 2023 at 11:40

без хоть каких то гарантий

Автор ранее в комментариях писал, что сообщили куда следует на этого злодея и надеждах на тяжелый меч правосудия…

Еще вчера многие из нас и вас не слышали про этот "маркетплейс игровых предметов"…

Hlad Aug 2 2023 at 11:08

Хотелось бы уточнить: когда называются большие суммы - речь именно о потерях, или о недополученной прибыли?

mikhail_malashin Aug 2 2023 at 11:46

В статье указывали именно оценочную стоимость скинов. Упущенная выгода там значительно больше

Hlad Aug 2 2023 at 12:02

Стоп. "Оценочная стоимость скинов" - это та сумма, которую потратили на их приобретение, или та сумма, за которую хотели продать эти скины?

mikhail_malashin Aug 2 2023 at 12:28

Тут речь именно про реальные деньги, которые мы могли бы получить, если бы продали украденные скины у нас на сайте. У нас в стоке есть скины, которые мы купили сами, и скины, которые появились при обмене одних предметов на другие. Так что мы когда считаем сток, называем актуальную стоимость предмета на рынке, а не во сколько он нам обошелся когда-то.

Hlad Aug 2 2023 at 12:37

То есть, именно упущенная выгода. Спасибо.

chervital Aug 2 2023 at 15:33

Набил себе шишку на голове от фейспалмов. Особенно порадовало

исторически сложилось, что часть инфраструктуры у нас была общедоступна

Upd. Я правильно понимаю, что у вас все сервисы торчали наружу в интернет безо всяких dmz?

mikhail_malashin Aug 4 2023 at 14:07

Вроде того, ага. К сожалению, во многих стартапах на этапе их зарождения принимают сомнительные решения, чтоб поскорее выехать на рынок. И не всегда задумываются о безопасности. В большинстве своем, о безопасности задумываются уже после того, как что-то произошло - вот и у нас так. Мы, конечно, начали в свое время все переделывать, но не до всего дошли руки. Так и тут. Реплика торчала во внешний мир без всяких dmz. Приходи, кто хочет. А что касается сервисов - нет. Основная часть была, как раз, во внутреннем контуре и недоступна извне. Но, опять же, не до всего дошли руки. Что и было использовано злоумышленником

Lev3250 Aug 2 2023 at 19:35

Другой вопрос: а насколько вообще легален вывод денег за скины в фиат с точки зрения правил стима?

mikhail_malashin Aug 3 2023 at 10:26

Вывод денег за скины на сторонних площадках на данный момент не регулируются Стимом.

stitrace Aug 3 2023 at 03:57

Мне кажется в рассказе в абзацах между объявлением награды в 100к$ и тем фактом, что была раскрыта личность злоумышленника пропущена какая то важная информация. Или мне кажется?

Lev3250 Aug 3 2023 at 07:36

Вор сам себя сдал через подставное лицо, а 100к поделили?

mikhail_malashin Aug 3 2023 at 10:09

100k никому не заплатили - не успели, сами нашли

rever50 Aug 5 2023 at 04:26

Raja55 Aug 7 2023 at 12:03

Денежные средства в виде "предметов" принадлежали площадке или сторонним продавцам?

Получается из-за оставленной "дыры" площадкой, пострадали именно они?