Еще один пользователь Steam получил бан на 20 лет за обнаружение уязвимости сервиса
Еще один пользователь Steam получил бан на 20 лет за обнаружение уязвимости сервиса
По моему личному опыту общения с технической поддержкой разных сайтов (а их было много), поддержка Steam - самая роботизированная и бесполезная. Я с трудом выбил ответ не шаблоном (надеюсь), пусть и не более информативный.
5555

Исходя из этого, несколько правил юным исследователям:
1) Не ищи уязвимости в сервисе под основной учёткой
2) Если нет нормального багбаунти и после репорта ничего не исправлено в течении месяца - бери инициативу в свои руки и привлеки внимание к этой проблеме публично (и как можно более анонимно).

24
Ответить

3) Не имей никаких дел со Стимом. Здоровее будешь.

9
Ответить

"Спустя несколько дней я спросил его, зарепортил ли он это. Он ответил что нет. ... Он в итоге, как и я, об этом кейсе просто забыл."

То есть вы использовали уязвимость, тем самым нарушив правила сообщества, для того что бы протестировать и зарепортить эту же уязвимость. Но после теста вы решили её не репортить, всё верно? А теперь вам прилетел бан за нарушение правил сообщества, потому что вы ПОПРОСТУ ИХ НАРУШИЛИ и вас это возмутило??? Wait WUT?
Это как минимум - смешно, как максимум - заслуживает премию дарвина.

18
Ответить

Придется в очередной раз пояснить, чем различается ИССЛЕДОВАНИЕ и ИСПОЛЬЗОВАНИЕ (эксплуатация) XSS уязвимости.

Исследование: создаются скрытые в данном случае предметы мастерской. В них проверяется техническая информация вроде политики доменов, лимита символов, взаимодействие с внутренними функциями и т.п. После этого и без того скрытые от посторонних предметы еще и удаляются. Это даже с натяжкой нельзя назвать использованием уязвимости, так как кроме меня самого ни у кого эти скрипты не выполнялись и выполниться не могли. Тем более что там не было ни одного вредоносного скрипта. Возможно ты не знаешь, но любую уязвимость находят не телепатически, она становится реальным кейсом только после того, как ты проверишь ее работоспособность на самом себе либо же тестовом аккаунте. Поэтому специалисты по безопасности называются тестировщиками, а не хакерами по вызову.

Эксплуатация: создаются публичные предметы мастерской. В них инжектится скрипт заведомо опасного характера либо какой нибудь дефейс и проигрывание веселой музычки, ну и как правило скрипт самораспространения, заставляющий пользователя делиться этим предметом с друзьями. Уже спустя менее чем час на это натыкается кто нибудь, кто умеет нажимать ПКМ и смотреть исходный код страницы, после чего уязвимость становится общеизвестной и каждый третий начинает ее абузить с целью просто попиариться. Если бы такой сценарий действительно произошел, ты бы уже знал обо мне, а я бы был забанен еще год назад. Как вариант вредоносного скрипта (я уже упоминал), скрипт, который скупает от лица пользователя твои предметы мастерской по завышенным ценам. Я не black hat, поэтому меня такие развлечения не очень интересуют.

Попробуй найди правило сообщества, под которое попадает мой случай. Правила "Недонесение об уязвимости" там нету (впрочем, это и не мое решение).
Не исключено, что меня приняли за другого человека, который мог найти и использовать уязвимость позднее, может что-то из того, что я написал в статье. С таким фидбеком, как у вольво, это навсегда останется загадкой.

5
Ответить
Комментарий удалён модератором

Специально выделил ключевые слова жирным. Уязвимость НЕ БЫЛА использована, в течение года никто не вспоминал о ее существовании, пока предположительно кто-то из администраторского состава не открыл мой скрытый(!) удаленный(!!) воркшоп предмет. Возможно ты не знаком с тем, как обычно реагируют на такие вещи разработчики. Во ВКонтакте, например, связываются с тобой и просят пояснить за прикол, если ничего критического не произошло, то могут даже попросить отписать на hackerone (чтобы выплатить потом награду). В стиме же молча банят, а потом морозятся не называя даже банально причины. Я описал выше к чему приводит такая политика.

10
Ответить

Он ожидал что Гейб лично к нему домой приедет, руку пожмет, деньги даст и на работу возьмет.

3
Ответить

Комментарий недоступен

4
Ответить

Ну конкретно этот пользователь точно невиновен, а если что и было - так ето брат иго зашел паиграть.

2
Ответить

Если отпишет кто-то из русскоязычных разработчиков (что маловероятно), то мне и самому интересно за какое дело. В противном случае вряд ли, иначе ты бы уже про меня знал.

1
Ответить

Вот так вот покупаешь игры а тебе дают бан на 20 лет, ты плюешь на все и идёшь на Чёрную жемчужину бороздить просторы пиратства.

2
Ответить

Ну не надо драматизма.

Человек пытался внедрить свой скрипт, практически троян, а получил всего бан коммьюнити. Магазин, библиотеку или возможность играть он-лайн это не затрагивает.

2
Ответить

Ну то есть при нахождении такой уязвимости более логично, выгодно и безопасно получается просто продать ее, а не сообщать разработчикам. :)

2
Ответить

Ноуп, а автора много воды для созания видимости "невиноватая я, оно само"
По факту:
Автор используя уязвимость, всковырнул аккаунт, после этого спустил все на авось. Не отправляя своевременный репорт.
А теперь ему должны поверить, что за прошедший год, он никому не слил, и не пробовал сам использовать. Ведь он честна-честна говорит. И что багрепорт задним числом через год, это не попытка отмазаться, а истина.

Короче автор сам себе злобный буратино. Или вообще твинк Kaby.

2
Ответить

Комментарий недоступен

Ответить

Знал, лично пробовал ранее, не работает и фидбека никакого нету. (Через форму на сайте - вообще мертвое дело).
И все же я постарался максимально детально описать ситуацию, чтобы не возникало таких вопросов. Первым обнаружившим был мой друг, поэтому репортить это без его разрешения - неэтично и чревато прекращением дружбы. Лично я постарался бы все же донести проблему через известные мне попеременно рабочие каналы.

3
Ответить

Комментарий недоступен

1
Ответить

Я вломился в чужую собственность, но решил ничего не красть. Делать с этим ничего не стал, думал никто не поймает за руку.

Спустя год.

Охрана таки посмотрела на камеры и запретила мне ходить в их заведение на 20 лет. Все там дураки и неадекваты, должны были меня простить, ведь я же мог еще и насрать там, но не сделал этого.

1
Ответить

Не очень корректное сравнение. Выше уже дважды писал, что единственный способ найти уязвимость - проверить ее работоспособность на самом себе либо своем тестовом аккаунте (если требуется взаимодействие двух). В противном случае это лишь гипотеза о существовании уязвимости. Если так посудить, то любой black-hat хакер или штатный тестер уже должен дежурить у параши.

Ответить

в голосину, то есть сначала вы нашли уязвимость, потом ты написал скрипт что бы ей воспользоваться, а из-за того что у стима нет баг баунти вы подумали и решили что не будете ничего им сообщать об этой уязвимости, еще и угрозы разработчику в письме, well done
очередной белый и пушистый кулхацкер, кого там еще несправедливо в стиме забанили? следующий пожалуйста

Ответить

На большую часть обвинений (особенно про "чтобы воспользоваться") я ответил выше.
А вот:
еще и угрозы разработчику в письмеЛол? Ты откуда это взял?

1
Ответить

Отлично расписана часть статьи про уязвимость!
Я думаю, что можно такое, с подробностями, на хабре написать. Было бы интересно почитать.

Ответить

Я не понял, репорт на баг то был? Нашли уязвимость, опробовали ее и не стали сообщать, ибо нет вознаграждения?

Ответить

Меркантильные сволочи!

Ответить

Ты сильно не расстраивайся, за тебя казахи уже отомстили габену: https://dtf.ru/12717-igroki-soobshchili-o-blokirovke-soobshchestva-steam-v-kazahstane.

Ответить

Автор молодец, без шуток. Просто цари царской платформы не приемлют, чтобы холопы что-то да находили.

Ответить

В юности, занимался отловом подобных людей в одной мморпг. И каждый чёрт, что нещадно эксплуатировал уязвимости, верещал что он только попробовал и хотел рассказать. Не надо скулить, когда за хвост поймали. Поделом тебе.

Ответить

Опять не очень корректное сравнение. Stored XSS, в отличие от ингейм багов, имеет глобальный характер (особенно в данном случае). Ее не выйдет поюзывать, а потом попасться. Почему? Загугли что такое XSS, прежде чем делать выводы. Если бы она была использована, ты бы уже знал обо мне, как определенные люди знали о Kaby.

Ответить