Во вторых, стоит напомнить представителям Steam, что даже у PornHub и Imgur есть Bug Bounty программы, и платят White-Hat исследователям они деньгами (кто-то серьёзными, кто-то символическими), а не перманентными банами. С таким подходом, как у Steam, каждая мелочь из символических 100$ превращается в огромный инфоповод. Порой даже каждый третий узнает об уязвимости, и на некоторое время платформа становится неюзабельной. Что забавно, в таких ситуациях никого не блокируют (не ко всем подряд же применять санкции). Вспомните смену пароля любому пользователю или последние три массовых дефейса разделов сайта в результате использования XSS всякими школьниками (прим. Дефейс - изменение дизайна и содержания сайта (проигрывание +36 dB Димона) ради лулзов или с целью рекламы, чаще всего делается через XSS. Это к слову о том, что XSS почти никогда не получается использовать незаметно. Стоит кому-то пронюхать уязвимое поле, и тут же начинается повсеместная эксплуатация уязвимости в развлекательных целях).
Исходя из этого, несколько правил юным исследователям:
1) Не ищи уязвимости в сервисе под основной учёткой
2) Если нет нормального багбаунти и после репорта ничего не исправлено в течении месяца - бери инициативу в свои руки и привлеки внимание к этой проблеме публично (и как можно более анонимно).
3) Не имей никаких дел со Стимом. Здоровее будешь.
"Спустя несколько дней я спросил его, зарепортил ли он это. Он ответил что нет. ... Он в итоге, как и я, об этом кейсе просто забыл."
То есть вы использовали уязвимость, тем самым нарушив правила сообщества, для того что бы протестировать и зарепортить эту же уязвимость. Но после теста вы решили её не репортить, всё верно? А теперь вам прилетел бан за нарушение правил сообщества, потому что вы ПОПРОСТУ ИХ НАРУШИЛИ и вас это возмутило??? Wait WUT?
Это как минимум - смешно, как максимум - заслуживает премию дарвина.
Придется в очередной раз пояснить, чем различается ИССЛЕДОВАНИЕ и ИСПОЛЬЗОВАНИЕ (эксплуатация) XSS уязвимости.
Исследование: создаются скрытые в данном случае предметы мастерской. В них проверяется техническая информация вроде политики доменов, лимита символов, взаимодействие с внутренними функциями и т.п. После этого и без того скрытые от посторонних предметы еще и удаляются. Это даже с натяжкой нельзя назвать использованием уязвимости, так как кроме меня самого ни у кого эти скрипты не выполнялись и выполниться не могли. Тем более что там не было ни одного вредоносного скрипта. Возможно ты не знаешь, но любую уязвимость находят не телепатически, она становится реальным кейсом только после того, как ты проверишь ее работоспособность на самом себе либо же тестовом аккаунте. Поэтому специалисты по безопасности называются тестировщиками, а не хакерами по вызову.
Эксплуатация: создаются публичные предметы мастерской. В них инжектится скрипт заведомо опасного характера либо какой нибудь дефейс и проигрывание веселой музычки, ну и как правило скрипт самораспространения, заставляющий пользователя делиться этим предметом с друзьями. Уже спустя менее чем час на это натыкается кто нибудь, кто умеет нажимать ПКМ и смотреть исходный код страницы, после чего уязвимость становится общеизвестной и каждый третий начинает ее абузить с целью просто попиариться. Если бы такой сценарий действительно произошел, ты бы уже знал обо мне, а я бы был забанен еще год назад. Как вариант вредоносного скрипта (я уже упоминал), скрипт, который скупает от лица пользователя твои предметы мастерской по завышенным ценам. Я не black hat, поэтому меня такие развлечения не очень интересуют.
Попробуй найди правило сообщества, под которое попадает мой случай. Правила "Недонесение об уязвимости" там нету (впрочем, это и не мое решение).
Не исключено, что меня приняли за другого человека, который мог найти и использовать уязвимость позднее, может что-то из того, что я написал в статье. С таким фидбеком, как у вольво, это навсегда останется загадкой.
Специально выделил ключевые слова жирным. Уязвимость НЕ БЫЛА использована, в течение года никто не вспоминал о ее существовании, пока предположительно кто-то из администраторского состава не открыл мой скрытый(!) удаленный(!!) воркшоп предмет. Возможно ты не знаком с тем, как обычно реагируют на такие вещи разработчики. Во ВКонтакте, например, связываются с тобой и просят пояснить за прикол, если ничего критического не произошло, то могут даже попросить отписать на hackerone (чтобы выплатить потом награду). В стиме же молча банят, а потом морозятся не называя даже банально причины. Я описал выше к чему приводит такая политика.
Он ожидал что Гейб лично к нему домой приедет, руку пожмет, деньги даст и на работу возьмет.