Комментарии 24
Не перестаю удивляться, как ТАКИЕ уязвимости могут быть у ТАКИХ компаний. А в общем статья ничем особо не примечательна
В компании, где за 3 популярных онлайн-игры и огромный сервис цифровой дистрибуции отвечают всего 400 человек — легко.
Это вы ещё сами скрипты (вернее — сборную солянку из таковых) для публикации под разными платформами у них не видели. Веселуха там ещё та. Хотя недавно вот выпустили гуишную тулзу, но всё равно танцевать с бубном надо :)
Чем крупнее компания, тем меньше у рядового сотрудника шансов получить какие-то бонусы благодаря своей инициативе. Соответственно мотивация к качественному труду падает ниже плинтуса. Так что всё закономерно.
На самом деле в панели стима все еще хуже. Например, у них стоит запрет на публикацию приложений в магазин в выходные. И самое интересное, что кнопка "Submit to live" с запросом ReleaseGame просто комментируется через // в зависимости от времени суток…
Жаль что ее из стима уже удалили. Но в кэше пока есть. (http://webcache.googleusercontent.com/search?q=cache:0rCYTPsTBc8J:store.steampowered.com/app/445730/+&cd=1&hl=ru&ct=clnk&gl=ru)
Я бы, на месте Valve, за такую уязвимость подарил вам аккаунт. А, кстати, он правда стоит сто баксов? Нехило...
Кстати у Valve есть bug bounty. www.valvesoftware.com/security
Супер, Гейб негодует
Начало статьи звучит примерно так: Как я взломал сайт Пентагона: в общем был у меня root shell на сайте Пентагона. Откуда взял не скажу, и не спрашивайте. И вот набрал я cd /var/www…
Чел где-то нарыл анонимно аккаунт, который в норме можно получить после кучи согласований, но уязвимостью называет то, что из-под этого аккаунта не все углы заполированы. Да потому и не заполированы, что там одни серьёзные дяди сидят. Любой вред, нанесённый пользователем такого акка Valve просто отсудит в 10-кратном размере.
Когда написать, что сделал, нельзя, но очень хочется — получаются такие тексты.
Чел где-то нарыл анонимно аккаунт, который в норме можно получить после кучи согласований, но уязвимостью называет то, что из-под этого аккаунта не все углы заполированы. Да потому и не заполированы, что там одни серьёзные дяди сидят. Любой вред, нанесённый пользователем такого акка Valve просто отсудит в 10-кратном размере.
Когда написать, что сделал, нельзя, но очень хочется — получаются такие тексты.
Чел обнаружил, что в клиенте можно поменять ИД и выдать себя за пользователя с другим уровнем доступа и возможностями.
«Да потому и не заполированы, что там одни серьёзные дяди сидят.»
А вот сейчас смешно было.
«Да потому и не заполированы, что там одни серьёзные дяди сидят.»
А вот сейчас смешно было.
Звучит оно примерно как "На секретной базе в подвале есть сверхзакрытая комната, в которой запертый арсенал, где кроме прочего в ящичке лежат патроны. Так вот, на этом ящичке замок можно фомкой снять." Плохо, конечно, не спорю. Но это наименьшее из возможных "плохо". Настоящий трындец — это как он до ящичка добрался.
Вон Вконтакте тоже можно было, не зарегистрировавшись, смотреть фото на аккаунтах, тупо прописывая полный адрес. И всем до лампочки. Здесь у описанной уязвимости такой же уровень сложности.
На том уровне доступа, который у него был изначально, эскалация до того, что он получил — никем изначально не рассматривалась, как вектор атаки. Это не мужик с улицы опубликовал игру и мог подложить малварь. Это корпоративный аккаунт нарушил техническое обеспечение неких правил, которые вообще можно было технически не ограничивать, а оговорить на бумаге.
Я почему так недоволен — ну это мне уже напоминает про хакера и солонку. Это как при глючном сайте сидеть и править баги в админке, чтобы младший админ не смог эскалироваться до старшего, хотя они оба друг-друга знают. У Стима клиентское приложение эпически кривое, а с такими претензиями они на команду внутреннего сайта будут больше ресурсов тратить.
Нашёл дыру во внутренней админке — молодец. Сообщил — ещё раз молодец. Но зачем теперь это обсуждать на всепланетном уровне — то?
Вон Вконтакте тоже можно было, не зарегистрировавшись, смотреть фото на аккаунтах, тупо прописывая полный адрес. И всем до лампочки. Здесь у описанной уязвимости такой же уровень сложности.
На том уровне доступа, который у него был изначально, эскалация до того, что он получил — никем изначально не рассматривалась, как вектор атаки. Это не мужик с улицы опубликовал игру и мог подложить малварь. Это корпоративный аккаунт нарушил техническое обеспечение неких правил, которые вообще можно было технически не ограничивать, а оговорить на бумаге.
Я почему так недоволен — ну это мне уже напоминает про хакера и солонку. Это как при глючном сайте сидеть и править баги в админке, чтобы младший админ не смог эскалироваться до старшего, хотя они оба друг-друга знают. У Стима клиентское приложение эпически кривое, а с такими претензиями они на команду внутреннего сайта будут больше ресурсов тратить.
Нашёл дыру во внутренней админке — молодец. Сообщил — ещё раз молодец. Но зачем теперь это обсуждать на всепланетном уровне — то?
Не так давно говорили про другую багофичу, которую тут тоже где-то упоминали — они отключают возможность публикации на выходных просто комментируя код кнопки на странице, а к этому доступ уже получить несложно, и сдается мне эти две недоработки растут из одного места.
Это как раз мужик с улицы. https://www.steampowered.com/steamworks/FAQ.php
How do I get access to Steamworks?
You can access the Steamworks SDK and documentation by visiting https://partner.steamgames.com/, signing in, and accepting the SDK Access Agreement. The account you do this from must not be limited.
How do I get access to Steamworks?
You can access the Steamworks SDK and documentation by visiting https://partner.steamgames.com/, signing in, and accepting the SDK Access Agreement. The account you do this from must not be limited.
Захотелось поиграть.
И за это Valve никак не вознаградила?
И все-таки, как Вас отблагодарил Valve за найденную уязвимость?
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Смотрим на высыхание краски: Как я залил игру в Steam Store безо всякого одобрения со стороны Valve