Пользователя Steam заблокировали до 2038 года за найденные им уязвимости

Пользователь Steam обнаружил уязвимость в защите сервиса Steam, за что получил бан на двадцать лет.

Ему не помогло даже участие в переводах.

Ресурс DTFпобеседовал с юзером под ником Kaby и узнал детали произошедшей драмы.

Началось все с того, что Kaby нашел в Steam возможность блокировать участников сообщества в обсуждениях даже в том случае, если они в них никогда не участвовали. То есть модератор любого из игровых центров Steam мог блокировать любого геймера, даже если тот нигде не оставлял комментариев. Все, что нужно для этого сделать — заменить идентификатор поста в коде страницы.

Как любой порядочный гражданин, Kaby сообщил о своей находке в техподдержку, однако уязвимость не устранили даже за несколько месяцев. Чтобы хоть как-то расшевелить сотрудников Valve, Kaby заблокировал друга (с согласия последнего), за что получил бан продолжительностью в шесть месяцев. В качестве причины бана сотрудник по имени Джек назвал злоупотребление функциями сервиса.

Но на этом сердобольный пользователь не успокоился, и в апреле нашел еще один баг Steam, на этот раз связанной с системой самоблокировки аккаунта Self-locking tool, позволяющей ограничить возможности своего профиля в том случае, если доступ к нему получили посторонние. В этой ситуации для восстановления аккаунт необходимо перейти по ссылке в письме, подтверждающем блокировку, или ввести из него соответствующий код.

Kaby написал в техподдержку и сообщил, что он не может восстановить свой аккаунт по обозначенному коду, но если вести пароль в верхнем регистре, то система его примет. Пользователю пообещали, что программисты займутся данной проблемой.

Спустя какое-то время Kaby решил проверить, как там поживает найденный им баг, но вместо этого нашел еще один. Если заблокировать собственный акк, а затем перейти по ссылке для снятия ограничений, можно запросто избавиться от временного бана в Steam. Естественно, юзер вновь отправился в техподдержку и честно сообщил о своей находке, где ему выдали бан за то, что его запрос посчитали повторяющимся.

Кроме того, за то, что Kaby разбанил сам себя, ему еще и выписали перманентное ограничение. Пользователь пробовал несколько раз обратиться в техподдержку, но его игнорировали. После этих многочисленных запросов со страницы Kaby в Steam исчезло все содержимое, а сам профиль был изъят из публичного просмотра. Попытавшись внести изменения в профиль, пользователь увидел, что его акк заблокирован аж до 2038 года.

В русскоязычном сообществе Steam несчастному сообщили, что бан этот выдан обоснованно и снят не будет.

Зато, обратившись в техподдержку, Kaby узнал, что тот самый эксплойт со снятием бана через инструмент самоблокировки все же устранили.

Нравится126
Комментарии (76)
  • 208
    Решили ликвидировать свидетеля уязвимости
  • 23
    "Смерть чиновника" Steam Edition - чё докапывался непонятно ..
  • 99
    Настоящий герой! Пожертовавл своим аккаунтом чтобы убрали баг с разблокировкой.
  • 120
    Важное дополнение не запостили:

    Обновление: пользователи сети пожаловались на Kaby и сообщили, что эксплойты, которые он описал, были найдены ранее другими участниками сообщества. Также геймеры сообщили, что Kaby банил других игроков и пользовался эксплойтом в личных целях до того, как обратился в техподдержку. Сам Kaby заявляет, что банил пользователей за «токсичные набеги» на его игровые центры. «VAC-баны я раздавать конечно же не мог. Это всё троллинг и клевета» — прокомментировал он DTF.

    Судя по комментам на DTF, он вовсю злоупотреблял своим более-менее привилегированным положением - вот и получил по шапке.
  • 23
    Он с первого раза не понял , что техподдержке на ни чего не надо , а тех кто воняют , они просто закапывают по глубже... сам виноват ... вот пусть сидит и кукует 20 лет .... умный бы пользовался эксплоитами , а не кричал бы на весь мир , о том что нашел ....
  • 90
    Ему сделали одолжение, открыв мир торрентов и вседозволенности, коей отчаянно требовала его израненная душа.
  • 22
    Таковы условия с которыми пользователь соглашается в момент регистрации. Нарушил условия соглашения, не важно в каких целях- получил бан. Steam имеет на это полное право.
  • 33
    Чел явно не знает, как надо взаимодействовать с вольво. Просто публикуешь везде статью о баге и вальв всё фиксят. Уже не первый случай, когда при обращении в тех поддержку с благими намерениями они выдают бан.
  • 14
    Довыпендривался.
  • 10
    Эта цивилизация на этом стоит, за правду наказали. Могли бы например закрыть доступ в онлайн в играх (по подобию перевода на не кваллифицированую работу). У него пропуск изьяли навсегда и всего чего он достиг выкинули в урну. Игра это маленькая жизнь.
  • 58
    Желаю ему найти новый баг и разбанить себя в стиме, и забанить весь там саппорт и самого гейба
    И сделать все игры бесплатными!
  • 19
    Anomaliya100500
    Довыпендривался - это если бы он этим угрожал, либо не сообщал в техподдержку вовсе.
    Его необоснованно забанили.
  • 4
    В следующий раз может продавать найденные уязвимости на форумах
  • 28
    Он слишком много знал
  • 7
    А вот теперь интересно, сколько ошибок и уязвимостей сервиса Steam неизвестны для обычных пользователей. Он хотел помочь защитить community, а вместо этого он только поспособствовал тому, чтобы эту уязвимость развивали дальше те, кто ей пользуется. Мало ли, из вышеуказанной проблемы может получиться другая.
  • 13
    Anglerfish
    Ну так правильно. а зачем? Он же жертва обстоятельств. Сейчас народ побежит жалеть бедного человека.
  • 10
    BeTePaH[1945]
    Так уже вон вовсю жалеют :)
  • 3
    Его забанили за то что ачивки раздавал, а не вот за это.
  • 8
    Стим какаха
  • 7
    Поучительная история ...
  • 5
    Не понятно на кой чёрт он тестил уязвимости на своём аккаунте, а не на пробном.
    Дела с такими конторами надо афишировать громко и публично, тогда не тронут и зашевелятся.
    А так Valve уже давно почти превратилась в коммерческого безликого гиганта. Вроде и процента с магазина хватит на любой каприз, но и из игр выпускают только говнецо для сруба кассы. Мне в последнее время приятнее PSN пользоваться, чем их сервисами, хотя раньше был еще тем фанатиком.
  • 12
    Мораль, не делай добра, не получишь зла.
  • 6
    Ему-бы тестером steam работать.
  • 30
    Ну вот и наконец-то заслуженный бан. Вы бы сперва разобрались, за что ему выдали. А то сражу жалеть, бедняжка...

    Ну-ну, клевета, токсичные набеги. Он иногда просто вступал в разговор и банил людей от того что их точка зрения не совпадает с его. Об этих эксплойтах действительно давно сообщалось ему. Теперь представляется таким белым и пушистым, ай-ай, забанили, а все пользователи вокруг бяки, наговаривают на меня. А я говорил, ничего не проходит бесследно. Получил что заслужил.
  • 21
    Ага, вот только перед тем, как сообщить от багах, он их использовал, причём ведь не единожды. Правильно забанили, нужно было вообще пермамент давать.
  • 11
    типичная steam поддержка
  • 2
    Знакомо...
    Как то на одном игровом проекте надыбал эксплоит на игровую валюту. Пиарить не буду, шли они... лесом. Что то типа накрутки в современной ГТА. Сообщил, приняли, следующий день - бан.
    Пишу, мол, че и почем. Ответ - раз ты нашел, значит и активно пользовался. Я грю, лады, скажу че куплено после эксплоита то и уберете. Мне без разницы в принципе. Ответ - "штырь тебе в попу" багоюзер "мамколюб". Глав модератор, 25 лет ребенку.
    Мораль, лучше молчите пока некую "веб" проблему не выявят сами, а то еще вину припишут.
    Steam Achivement Manager до сих пор работает, что уж там. Стим... тоже мне.
  • 2
    Этот саппорт самый ужасный в мире,хуже фашисткой германии! Я нашел баг в устройстве мобильного приложения,если вы раздаете вай фай с ПК (со встроенного адаптера) и зайдете при этом с телефона - вас выкинет со стима на основном компьютере,и войти в сеть нельзя будет до того момента,пока вы не выйдете на телефоне. Сообщил им в саппорт,так эти моральные уроды начали мне про порты затирать (хотя у меня все с ними окей,так как их я специально проверял) . Думаете этот баг пофиксили? Нет,даже думать не думали. Ужасный сервис по выкачиванию бабла,VALVE давно уже потеряла свое лицо - осталась лишь жадная тень.
  • 12
    Как всегда нужно видеть все точки зрения. А то в статье он просто ангел и спаситель пострадавший за чужие грехи.
  • 6
    ned flanders
    А ты сообщил в отдел безопасности или в сапорт?
  • 6
    Судя по тому,как все описывают эту историю,чувак показывает дыры в коде Steam'а,а самому Steam'у класть на такого рода проблемы.Серьёзно?
    Может чуваку надо было на отдельном аккаунте делать все эти проверки на "дыры" в программе,а не на основном аккаунте...
  • 1
    Аномел Суна
    Как ты сообщишь о баге,не показывая принципа его работы? теорией?)
  • 3
    Prince Tails
    Если бы он на Reddit'e опубликовал,пофиксили бы в течении недели.
  • 3
    Виктор Осетриев
    Явно не используя его против обычных пользователей.
  • 7
    Аномел Суна
    "Как любой порядочный гражданин, Kaby сообщил о своей находке в техподдержку, однако уязвимость не устранили даже за несколько месяцев. Чтобы хоть как-то расшевелить сотрудников Valve, Kaby заблокировал друга (с согласия последнего), за что получил бан продолжительностью в шесть месяцев."
    Ещё вопросы?
  • 3
    Voksi написал:
    умный бы пользовался эксплоитами , а не кричал бы на весь мир , о том что нашел ....

    Знаешь, вот из-за таких вот "пользователей эксплойтов", народ и страдает. Я пока в армии был, меня взломали, заблокировали на торговой площадке, правда, не навсегда а всего-лишь до 2086 года, и в сообществе Steam (правда, там меня уже разблокировали). Вот так вот. Просто Steam VAC больно уж чувствителен к мелочам, и совершенно не обращает внимание на подобные моей, бреши.
  • 5
    NightGameMassacre
    сообщил,и получил стандартный ответ о котором описал выше
  • 7
    #свободуKaby
  • 1
    Аномел Суна
    так ему и дали почти перманент, 20 лет то )))
  • 2
    Виктор Осетриев написал:
    Как ты сообщишь о баге,не показывая принципа его работы? теорией?)

    Разумеется теорией. Грамотные люди могут хорошо излагать свои мысли в письменной форме. Писать нужно вот сюда: security@valvesoftware.com
  • 2
    Мда. Вот и помогай после этого искать уязвимости.
  • 5
    SiriusPM
    SiriusPM написал:
    Steam VAC больно уж чувствителен к мелочам

    В Steam 2 вида бана: ограничение по серверам, на которых действует VAC, а также на официальных серверах Steam и бан аккаунта Steam.
    VAC — игровой античит, он банит в самой игре за использования запрещенных ПО, ограничивая в сетевой игре, но в остальном, аккаунт функционирует также. Он не может сделать того, что ты написал. А вот самом сервисе Steam, блокировкой занимается администрация, и блокирует доступ уже к самому аккаунту.
  • 4
    Александр Козлов Евгеньевич
    так может тогда отомстим компании Valve за комрада выдав в публичную раздачу все имеющиеся разработки Valve ?!
    и мстя наша будет им пострашнее того что те наделали :D
  • 5
    ned flanders
    Это довольно странно. Лично мне они ответили сразу, когда у меня был вопрос по приложению
  • 5
    Пускай подаёт в суд на Стим, он тратил деньги на игры, а потом ему просто взяли и доступ к ним заблокировали, надеюсь он отсудит у них много денег.
  • 5
    Voksi NANI !?
  • 1
    Благими намерениями устлана дорога...
  • 2
    Не удивлен... за правду везде наказывают. увы :(
  • 3
    Peter Jackson
    Никто не спорит по поводу правовой основы, спорят о том, насколько это правильно чисто с человеческой точки зрения.
  • 2
    Никита_Буянов
    Власть народу! Игры народу! Свергнем проклятых капиталистов! (Это шутка)
  • 3
    "Kaby забанил своего друга с его согласия." А ничего, что он этим эксплойтом банил многих других пользователей без их согласия только ради того, чтобы потешить своё чсв? (за что и получал жалобы в техподдержку от пользователей).
    Про прочие эксплойты (блокировка ссылок на другие сайты, исключение пользователя из группы, в которую он не вступал...), которыми Каби тоже активно пользовался, вы тоже почему-то скромно так умолчали.
  • 3
  • 7
    GEMORRROY
    он перебанил кучу народу, часто просто за высказывания в его адрес или просто так, и пользовался этим эксплоитом не только для поиска уязвимости. Довыпендривался, что попытался оправдаться, но не получилось (на дфт так точно, а вот здесь походу удалось, судя по комментариям), бан там заслужено.
  • 0
    Инициатива наказуема :)
  • 2
    K - A - N - E
    Да мне без разницы.
  • 3
    По факту он виновен, он раздавал ваки налево и направо, даже тем , у кого таких игр не было
  • 1
    Anglerfish ниже написал -за что этот баран получил бан и я этому верю, потому что просто так банить не будут, причем так жестко. Все такие нытики, сначала накосячат, думая что останутся безнаказанными. А когда петух в жопу клюнет -нюнить начинают и сопли распускать, что я святой человек и меня забанили, бла-бла-бла.
  • 1
    Жесть
  • 6
    Новость обеляет забаненного, словно он белый и пушистый. И ни слова о злоупотреблениях уязвимостями со стороны пользователя. Как по мне, бан справедлив. Этот человек далеко не святоша - я видел более подробную нововость на других игровых сайтах.
  • 0
    Buter123
    нет шансов, valve имеет право банить кого угодно
  • 1
    Ничего, может к моменту его разблокировки HL3 выйдет и ожидания будут оправданы вдвойне
  • 3
    хотел как лучше а получилось на оборот :(
  • 0
    Как уже написали, инициатива наказуема.
  • 6
    Знаю я этого парня... Как то была перепалка на форуме Стима, где этот Kaby угрожал баном одному парню(или девушке), пол не не знаю. Якобы он знает баг,который позволяет банить других пользователей! Все над ним,естественно, поржали и парочка человек получили бан! А он получил репорт в том числе и от меня! Представьте мое удивление,когда я здесь увидел про него статью! Так вот,знайте, он не белый и пушистый и часто абузил эту уязвимость!
  • 1
    Никита_Буянов
    Точно!
  • 1
    молчание - золото
  • 1
    козлопетухи они вонючие...
  • 0
    и сообщай после этого в поддержку...
  • 2
    Если бы он хотел проверить надежность системы и что-то доказать - сделал бы левый аккаунт, и экспериментировал на нем.
    Судя по описанию из статьи, он действительно нашел эти баги, но нашел не ради защиты, а ради того, чтобы ими злоупотреблять. Нашел, так сказать, "баномет" в мусорке)
    Ну а скрин "типа переписки" с пользователем - это вообще чума. Кто в здравом уме согласиться добровольно принять бан? К гадалке не ходи, что переписка велась с не настоящим пользователем, либо со взломанного акка настоящего пользователя. И не удивлюсь, если за обоих собеседников отвечал один и тот же человек)
    Больше похоже, что этот юзер просто пытается выставить себя мучеником, когда бан дали за дело.
  • 1
    Voksi
    Попробуй попользоваться эксплойтами у близзов.Потом,когда они их найдут(а находят такое быстро),то либо откатят твой акк,либо выдадут тебе перманент.
    Ах да,ведь тут речь о стиме/вальв.
  • 0
    19Grey62
    Статья - это одна сторона.Но как говорится - "Да будет выслушана другая сторона".Как правило это те,кто знаком с персонажем не понаслышке.И вот тогда можно составлять мнение о данном персонаже.
    (как правило баны на такой срок просто так не выдаются,значит - заслужил)
  • 0
    Я думаю, что на такой срок выдавать баны нелья
  • 1
    Чмошники. Нет чтобы нанять его на работу, они его забанили
  • 1
    А потом разрабы игр жалуются на пиратов...
  • 1
    "Нефиг нам указывать на уязвимости, о которых мы и так знаем!!!"- прокомментировали админы Steam
  • 1
    Anglerfish
    спасибо за дополнение)
B
i
u
Спойлер