В играх на движке Source найдена уязвимость, позволяющая получить доступ к аккаунтам игроков / Valve :: Разработчики игр :: Игры :: Steam :: source :: уязвимость

FB505

ValveРазработчики игрИгрыSteamsourceуязвимость

В играх на движке Source найдена уязвимость, позволяющая получить доступ к аккаунтам игроков

Группа "белых" хакеров The Secret Club, заявила, что обнаружила уязвимость в системе приглашений Steam в игры, основанных на игровом движке Source (CS:GO, TF2, Portal, HL и т.д.), с помощью которой возможно получить доступ к аккаунту игрока, который примет приглашение в игру от хакера. Если отправить приглашение от имени сообщества, то возможно получить доступ к большому количеству пользователей, принявшим приглашение.

Два года назад член The Secret Club @floesen_ сообщил об ошибке удаленного выполнения кода, затрагивающей все игры на движке Source. Его можно запустить через приглашение в Steam. Она еще не исправлена и Valve запретила нам обнародовать её.

Также, они заявили, что Valve знает об этой проблеме уже несколько лет и до сих пор не прокомментировала и не исправила её. Боле того, она запретила обнародовать данные об уязвимости, но не сообщила, как это осуществить.

О посте

Комментарии

12

12.04.21, 12:10

+14,3

Бэкдор скорее, но это близко.

ManKey

12.04.2021, 12:18

ссылка

-1,0

>который примет приглашение в игру
>последний раз играл с товарищем 5 лет назад

Квантовый Кот

12.04.2021, 13:40

ссылка

+18,2

Го в ТF2, я пригласил кину.

Spiriot

12.04.2021, 14:05

ссылка

+5,8

Последний раз играл с товарищем никогда.

Sk10

12.04.2021, 14:45

ссылка

+0,2

Хорошо что родители меня учили не принимать приглашение от незнакомых людей

LiRix

12.04.2021, 15:22

ссылка

+8,1

А черные хакеры просто угнали бы аккаунт.

shikolad

12.04.2021, 15:31

ссылка

+1,1

черные хакеры спиздили бы магнитолу

villy

12.04.2021, 16:05

ссылка

+1,7

Черные хакеры взломают твой дом

1337pothan

12.04.2021, 17:15

ссылка

+0,9

Черные хакеры ничего кроме фифы не взломают.

Fap Comandante

12.04.2021, 17:22

ссылка

-0,1

> Valve запретила нам обнародовать её.

Хуйню не неси, долбаеб

botka4aet

13.04.2021, 07:25

ссылка

-1,2

Боюсь тут ты ошибся на половину - долбаеб среди нас двоих есть, но это не я. Раскрытие уязвимости ПО, особенно в штатах - очень щекотливый процесс, если ты не незаконная релизгруппа или хакер, а "открытое" лицо, физическое или юридическое - не важно. У меня в универе был преподаватель, некто Дмитрий Скляров, вот он рассказывал увлекательную историю.
Он по профессии реверс-инжинер (ищет уязвимости в ПО), и в начале 00-х поехал в Вегас на официальную конференцию, где публично показал уязвимость защищенных PDF книг. Через 2 часа после окончания конференции к нему в номер постучались ФБР и арестовали, так как Adobe накатала заяву в полицию, что хакер сломал их продукт. 1,5 месяца в тюрьме (пока собрал на залог), еще 4 месяца жизни у знакомых знакомых знакомых (выехать было нельзя, денег нет) и далее суд постановил, что он невиновен. Но это полгода мороки, огромных расходов на адвоката и т.д.
Тут ситуация немного похожа. Маленькая бедная группа находит дырку и сообщает об этом валвам. Далее или валв просто говорит "если обнародуете - увидимся в суде", или они выплатили баунти ребятам, подписали с ними NDA и запретили обнародовать "до устранения". В обоих случаях обнародование = суд, долгий и дорогой. Даже если суд в итоге постановит, что ты невиновен - ты не вернешь денег и времени на этот суд. Это очень частая практика в США, когда крупные и богатые компании начинают судиться с мелкими, даже если они правы, просто убивая их долгим судом, потому что у мелкой нет денег и сил на него.

FB505

13.04.2021, 13:17

ссылка

+0,2

Ха мне буквльно пару дней назад один чел, с которым пару раз в КС ГО катал, кинул приглашение поиграть в портал 2, хотя у меня даже портала нет.

TibetFox

13.04.2021, 20:04

ссылка

+0,0

Чтобы написать коммент, необходимо залогиниться