Fw: [新聞] 駭客找出Steam錢包無限資金漏洞，Valve緊急修復

g5637128 發表於 2021/8/16 下午2:46:20

看板Steam標題Fw: [新聞] 駭客找出Steam錢包無限資金漏洞，Valve緊急修復作者

(好睏)時間Aug 16 14:46:20 2021推噓33 推:40 噓:7 →:83

※ [本文轉錄自 C_Chat 看板 #1X6UBY_P ]

作者: SuperSg (○(#‵ ︿′ㄨ)○森77) 看板: C_Chat
標題: [新聞] 駭客找出Steam錢包無限資金漏洞
時間: Mon Aug 16 12:00:31 2021

https://bit.ly/37M013S
駭客找出Steam錢包無限資金漏洞，Valve緊急修復

任何含有線上儲值付款功能的電子平台皆可能有漏洞風險，Steam 也不例外。上週
Hackerone 賞金平台有一位駭客發布了 Steam 的錢包系統存在一個漏洞，令其可在某個帳號底下無限生成資金，該功能經 Valve 確認後已緊急修正，並支付 7,500 美元的報酬給該駭客。

根據 Hackerone 報告，代號 Ddrbrix 的駭客在 8 月 9 日私下提醒 Valve 注意錢包系統漏洞，這個漏洞的原理基本上是攔截任何利用 Smart2Pay 支付方式的交易，修改儲存資金的金額 —例如 1 美元改成 100 美元— 幾乎是 Steam 平台的偽鈔技術了。

「我認為影響非常明顯，攻擊者可以此來賺錢，破壞 Steam 市場，用以低廉的價格出售遊戲序號等等，」Ddrbrix 在報告中表示。

之後，Valve 官方人員快速測試該漏洞後緊急修復，並感謝這位駭客找出致命的漏洞，支付 7,500 美元作為賞金。

許多遊戲發行商皆有與 Hackerone 的駭客進行合作找出漏洞，例如任天堂、Rockstar
Games 或 Riot Games，而 Riot 還曾為自己旗下的《特戰英豪》反作弊程式「Vanguard」準備祭出 10 萬美元的賞金給發現漏洞的白帽駭客。

=====

在買遊戲的遊戲中開錢無限，大概是這個意思

--
十部常被人用於學術研究的純愛型作品
https://i.imgur.com/GyOsasd.png 咲子 https://i.imgur.com/fE4hU8y.png 勝子

圖https://i.imgur.com/GyOsasd.png?e=1667540066&s=m7MGVcxbkEwwL_qp9RPMog, 駭客找出Steam錢包無限資金漏洞，Valve緊急修復

圖https://i.imgur.com/fE4hU8y.png?e=1667522395&s=IlPzwwstZ0J3bjD5Bn7k3Q, 駭客找出Steam錢包無限資金漏洞，Valve緊急修復

https://i.imgur.com/e9NJM3c.png 寧寧 https://i.imgur.com/IRpmjZo.png 舞櫻

圖https://i.imgur.com/e9NJM3c.png?e=1667537739&s=iSdBEPJYdO6yC0SqHZ74Fg, 駭客找出Steam錢包無限資金漏洞，Valve緊急修復

圖https://i.imgur.com/IRpmjZo.png?e=1667530901&s=pjZ-g7uOHqSGtcX6RS9SPg, 駭客找出Steam錢包無限資金漏洞，Valve緊急修復

https://i.imgur.com/PMWbgiI.png 亞愛 https://i.imgur.com/tQUc4MC.png 葵

圖https://i.imgur.com/PMWbgiI.png?e=1667521477&s=85tQHhB7kh7ePxf5YehpjQ, 駭客找出Steam錢包無限資金漏洞，Valve緊急修復

圖https://i.imgur.com/tQUc4MC.png?e=1667501497&s=ll5nQYRTcjBo1ydCMhJK1g, 駭客找出Steam錢包無限資金漏洞，Valve緊急修復

https://i.imgur.com/130juok.png 美來 https://i.imgur.com/jAyLhqd.png 可南子

圖https://i.imgur.com/130juok.png?e=1667554223&s=a4nxkt6ZD9ikWnqZvR64Jw, 駭客找出Steam錢包無限資金漏洞，Valve緊急修復

圖https://i.imgur.com/jAyLhqd.png?e=1667500617&s=j2JRO_RdSkdpdHtsi2nrnw, 駭客找出Steam錢包無限資金漏洞，Valve緊急修復

https://i.imgur.com/nmVVgPw.png 凜華 https://i.imgur.com/QWDEady.png 步

圖https://i.imgur.com/nmVVgPw.png?e=1667537991&s=2MMOrBQVoVd7xbK22Qr1MA, 駭客找出Steam錢包無限資金漏洞，Valve緊急修復

圖https://i.imgur.com/QWDEady.png?e=1667523921&s=VdJW5kxHaQ_nyEVkHklfuw, 駭客找出Steam錢包無限資金漏洞，Valve緊急修復

--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 114.32.239.143 (臺灣)
※ 文章網址: https://www.ptt.cc/C_Chat/M.1629086434.A.FD9

推 pgame3: Show me the money 08/16 12:02

噓 yys310: 純愛 08/16 12:03

推 storyo11413: 這反應真快 08/16 12:06

推 a122771723: 開金手指 08/16 12:06

推 Killercat: 7500美刀有點低哩.... 08/16 12:07

推 sillymon: greedisgood 08/16 12:07

推 ssarc: 還能用就能把steam遊戲買齊破關了 08/16 12:07

推 frankinc: 7500元耶好羨慕 08/16 12:07

→ ZunYin: 才給7500 08/16 12:07

→ RevanHsu: 7500就打發掉真廉價 08/16 12:08

推 r85270607: 你各位覺得要多少？ 08/16 12:09

推 tim5201314: 20萬還不錯吧 08/16 12:09

→ alinwang: 真用這個BUG灌錢是犯法且帳號會被封鎖吧. 08/16 12:12

→ relax1000: 不能用價值看吧.難道我撿到別人家鑰匙還回去要索取對 08/16 12:12

→ relax1000: 方50%家產嗎 08/16 12:12

推 jupto: 給獎金已經夠給面子了這種駭客是實打的犯罪就算靠這方式 08/16 12:14

→ jupto: 獲利也會被追討 08/16 12:14

推 palapalanhu: 好險被發現 08/16 12:15

→ r85270607: 算其中的一成好了那麼買遍steam遊戲需要兩百萬台幣嗎 08/16 12:15

→ lomorobin: 終於能RTA這個買遊戲的遊戲了？ 08/16 12:15

推 Xpwa563704ju: 很多白帽本來就做功德的吧 08/16 12:17

推 hinanaitenco: 白帽也被說犯罪笑爛 08/16 12:17

推 Solonius: 絕對超過200萬台幣... 08/16 12:18

推 wk415937: 才7500美 08/16 12:19

推 combokang: 16樓在說什麼...本來就是遊戲公司和平台合作 08/16 12:20

推 jupto: 行為上要說他犯罪也沒錯啊就只是要不要告的問題真要告絕 08/16 12:21

→ jupto: 對可以只是留他們免費幫公司debug更符合利益罷了 08/16 12:21

推 shortoneal: 這種賞金你不給人，等等被真正的壞人弄翻 08/16 12:21

推 kingroy: 7500真的有點少 08/16 12:22

推 guava664251: 找到漏洞但沒有濫用犯了什麼罪來著 08/16 12:22

→ combokang: 找到漏洞不代表有進行破壞啊有漏洞是你的問題 08/16 12:23

推 silverair: 笑死我的程式有漏洞被發現了，我要告死發現的人 08/16 12:24

推 darkestnight: 16樓根本不知道什麼是白帽駭客吧你自己去google 08/16 12:24

推 Shin722: 至少給10萬美吧？這算很嚴重的欸 08/16 12:25

推 dinosd2: 有人是非黑即白的，駭客就是駭客，管你黑帽白帽 08/16 12:25

→ jupto: 找到漏洞要完全排除使用過它幾乎不可能吧行為上要完全不 08/16 12:25

→ jupto: 給人能告的空間很難吧 08/16 12:25

→ oldk13: 某樓可能沒什麼網路知識，就別跟他計較了 08/16 12:26

推 jeff860109: 沒被告就很好了還嫌錢少喔 08/16 12:26

推 Giornno: 笑爛，我們來解決發現問題的人，是這個意思嗎 08/16 12:26

推 tw19930419: 還犯罪哩笑死 08/16 12:26

→ dinosd2: 才講沒多久又一位認為所有駭客都是黑的人出現了 08/16 12:26

推 NoLimination: 沒加碼送遊戲喔 08/16 12:27

→ Giornno: 那當屁白帽，反正都會被吉 08/16 12:27

推 Richun: 你敢告白帽駭客的話就不會有白帽跟你合作了剩下黑帽搞你 08/16 12:27

→ Richun: 這跟醫生動手術你就一定要告他傷害一樣好笑 08/16 12:28

推 Khatru: 好歹給個一萬以上吧甚至給個十萬也不為過 08/16 12:28

→ jupto: 我又沒說他是黑的只是說站在公司的立場可以完全不給錢也 08/16 12:29

→ jupto: 不給予任何感謝白白收下這個資安debug的結果 08/16 12:29

→ LipaCat5566: 法律上是不行沒錯道義上他救了G胖 7500跟v社比起來 08/16 12:29

推 whathefuc: 有也不會用不用花錢的steam還有什麼樂趣？ 08/16 12:29

→ LipaCat5566: 真的微不足道 08/16 12:29

推 shinobunodok: 人家特地來通知你哪裡有漏洞你告他？你是不是覺得 08/16 12:29

→ shinobunodok: 多一個來攻擊你的人會比較爽？ 08/16 12:29

→ r02182828: 我們公司絕對不跟恐怖分我是說駭客談判 08/16 12:30

推 shortoneal: 也是有聽過先把錢幹走，你付錢才還你的啦，但是這種就 08/16 12:30

推 dinosd2: 你這種講法就跟你出門時鄰居提醒你門沒鎖，你還靠北鄰居 08/16 12:30

→ shortoneal: 很有爭議了，但也是那種公司裝死修掉不給錢的太多 08/16 12:30

→ dinosd2: 是不是想進家裡偷錢 08/16 12:30

推 z897899878: 跟你講你家窗戶破了還要被屋主告?笑死 08/16 12:31

噓 Khatru: 到底在講三小啦，要死是屁都不吭的把漏洞修好，就可看下 08/16 12:32

→ Khatru: 次人家找到漏洞會不會告訴你 08/16 12:32

→ z897899878: 說法律上不行的說說是犯了那條法律啊 08/16 12:32

→ shortoneal: https://www.ithome.com.tw/news/139868 08/16 12:32

→ shortoneal: 比如說大家最愛的M$ 08/16 12:32

推 Giornno: 白帽出發點不談啦，哪知道人家原始動機是想挖bug圖利還真 08/16 12:32

→ Giornno: 的只是想抓蟲？ 08/16 12:32

推 kerry0496x: 可能有讓駭客選遊全遊戲免費玩 vs 折現，兩種選項？ 08/16 12:32

→ Giornno: 但他告訴遊戲公司，就該有賞，有沒有用bug圖利，那是另一 08/16 12:33

→ Giornno: 回事 08/16 12:33

→ shortoneal: 提供專業技術就是值得分享利益，有問題嗎? 08/16 12:33

→ Giornno: 你這點獎勵都不肯給，還要告他，以後真的沒白帽幫你抓蟲 08/16 12:34

→ Giornno: 了 08/16 12:34

→ shortoneal: 喔喔，你的意思說是挖bug偷用，但是這個行不通 08/16 12:34

→ shortoneal: 公司一下就發現了，而且這就真的有法律問題了 08/16 12:34

推 FncRookie001: 才給7500？ 08/16 12:34

推 lgsgameps2: 7500其實滿少的 08/16 12:35

→ kerry0496x: steam這種靠網路平台賺錢的，怎麼可能不瞭解白帽駭客 08/16 12:35

→ kerry0496x: 文化？某樓的公司立場，顯然不適用網路平台公司。 08/16 12:35

推 neerer: 好像有人以為駭客本身就是違法的存在，笑死 08/16 12:36

推 dinosd2: j仁兄要檢討白客駭帽前，請先檢討G胖底下的工程師為何沒 08/16 12:36

→ kerry0496x: 你了解的公司文化顯然缺乏與白帽駭客互動這塊 08/16 12:36

→ dinosd2: 發現這麼嚴重的Bug，還要業外人士提醒 08/16 12:36

推 andy86tw: 7500只是象徵意義而已啦== 08/16 12:36

推 edinhon: 笑死白帽被說成是犯罪有夠可憐 08/16 12:36

推 Khatru: 白帽子打我小學生時就聽過了，不懂得就別出來嘴砲了 08/16 12:37

推 hsinhanchu: 反正你也沒時間玩… 08/16 12:38

→ spfy: 會用白帽表示本身就已經沒有惡意了... 08/16 12:39

推 mikeneko: 這漏洞影響很嚴重，要慶幸沒被公布 08/16 12:39

推 dinosd2: 7500美應該是單純發給該位白帽的獎金，G胖公司有在跟該組 08/16 12:39

→ dinosd2: 織合作表示應該本來就有贊助金之類的，可能組織本身也會 08/16 12:40

→ jupto: 公司為了長期利益當然給白帽好生養著啊只是說賞金多寡就 08/16 12:40

→ jupto: 公司隨意啊它沒有義務一定要給白帽任何金錢或福利啊 08/16 12:40

→ dinosd2: 給予獎勵金之類的 08/16 12:40

推 Rivendare: 駭客不能做慈善喔 = = 會這樣告知本來就沒打算洗錢吧 08/16 12:40

推 windowsill: 不知道白帽就算了還一直在嘴硬到底？ 08/16 12:40

→ Khatru: 不要嘴砲啦，乖乖承認不懂有這麼難喔？ 08/16 12:41

→ dinosd2: 沒有義務?是啊，看看上面那個網址，錢少給了就把自己找到 08/16 12:41

→ violegrace: 沒給錢可以啊只是你說人家是在犯罪欸 08/16 12:41

→ dinosd2: 的統統公佈在網路上，看你MS有多少人力去搞定那些漏洞 08/16 12:41

噓 gyc880323: 樓上一堆鬼島邏輯 : 告幫你找bug bounty 的白帽 08/16 12:42

推 CHU094080: 7500只是檯面上的啦底下流動一般人不會知道 08/16 12:42

推 z897899878: 自己養的debug team一個月就不只7500了還不一定抓得到 08/16 12:43

→ tony811207: 給太少了吧 08/16 12:43

推 Steyee: 7500聽起來就像績效那樣的獎金吧，這些白帽應該平常就有 08/16 12:43

→ Steyee: 固定的薪資了 08/16 12:43

→ z897899878: 白帽又不是受僱員工哪來的工資??? 08/16 12:44

推 KJC1004: 還以為是SpiffingBrit 08/16 12:47

→ w3160828: 白帽有些是興趣在挖蟲，人家有其他正職 08/16 12:47

推 bartender01: 好了啦犯罪兩個字都打出來就不要再遮了無知不是問 08/16 12:48

→ bartender01: 題不願意承認無知比較可怕 08/16 12:48

推 jupto: 反正我主要是要說7500太少這件事完全沒立場吵因為公司有 08/16 12:49

→ jupto: 給錢就已經是很佛了它完全沒有付這錢的義務在 08/16 12:49

推 YaLingYin: 白帽很多做功德的耶 08/16 12:49

推 dinosd2: 沒人給台階下，當然要繼續嘴硬，還扯到公司幹嘛給錢感謝 08/16 12:49

→ dinosd2: 白帽駭客，搞不清楚狀況的人當然搞不清楚狀況 08/16 12:50

推 a0952864901: 題外話他們這類團體大多會跟公司合作幫忙找漏洞我 08/16 12:50

→ a0952864901: 之前公司做網路相關產品去類似機構測過一次測完真 08/16 12:50

→ a0952864901: 的可以幫你抓一堆軟硬體破解手法出來費用那時候是付 08/16 12:50

→ a0952864901: 了5萬鎂 08/16 12:50

推 z897899878: 被人看沒有而已啦，一個大公司幫他省了多少錢結果才給 08/16 12:51

→ z897899878: 一點打發，根本不尊重專業還在還很佛www 08/16 12:51

→ r02182828: 公司是沒這個義務給錢不過人家不是你養的也沒欠你不 08/16 12:51

→ r02182828: 給就準備花更多擦屁股 08/16 12:51

→ lomorobin: 白帽通常公布的時候官方早就修了 08/16 12:51

推 theseusship: 人家valve在懸賞網站開懸賞，啊真的有人達成條件了 08/16 12:51

→ theseusship: 推文又有人在說不用付那筆錢，是不是當懸賞是放屁啊 08/16 12:52

推 dinosd2: 因為白帽發現Bug時一定是先聯絡官方，等確定修好後再跟官 08/16 12:52

→ dinosd2: 方共同公佈有關這個Bug的事 08/16 12:52

→ w3160828: 7500應該是依照那個蟲的等級去定義的，我們外人可能覺 08/16 12:52

→ w3160828: 得危險，但是定義的人可能覺得就7500的價值 08/16 12:52

→ KJC1004: 公司當然沒必要付錢給白帽啊但是下次exploit就直接賣給 08/16 12:53

推 HeyDrunk: 十六樓好了啦 08/16 12:53

→ KJC1004: 競爭對手或是真正的犯罪組織了自己想想吧把法律當成一 08/16 12:53

→ KJC1004: 切標準？你知道立法委員是群智障嗎？ 08/16 12:53

推 weltschmerz: 一下說錢太少一下又沒義務給錢我真的快笑死 08/16 12:53

→ theseusship: https://hackerone.com/valve 08/16 12:53

→ lomorobin: 獎金擺在那，你不爽拿可以用這個漏洞轉黑錢啊。 08/16 12:53

推 tom282f3: SpiffingBrit XD 08/16 12:54

→ theseusship: 人家公司在懸賞網站開的頁面啦，裡面回報的不只一筆 08/16 12:54

→ theseusship: ，沒義務大師快點來判斷一下這些有沒有義務給錢 08/16 12:54

→ jupto: 從新聞來看這案子似乎不是合作所以才說抓蟲過程也可能有 08/16 12:55

→ jupto: 犯罪的可能而且最主要是他抓到蟲除了告知公司領賞外沒有 08/16 12:55

→ jupto: 有其他合法變現的可能 08/16 12:55

推 dinosd2: 也有可能這Bug使用難度高的關係，不是隨便一個Steam玩家 08/16 12:55

→ dinosd2: 看懶人包就立刻會用的狀況，所以獎金才會有認知上的落差 08/16 12:55

推 z897899878: 怎麼變成犯罪的可能了?不是說是實打的犯罪嗎? 08/16 12:56

→ dinosd2: 那j仁兄邏輯蠻悲哀的，把所有人都當做賊去防範，不願相信 08/16 12:57

推 hit0123: 看推文就知道台灣為什麼會是鬼島了先解決敢提出問題的人 08/16 12:57

→ hit0123: 難怪三不五十能看到指鹿為馬國王新衣的事情 08/16 12:57

→ dinosd2: 有人是好心主動幫忙，就算是為了除蟲獎金，該人有做了什 08/16 12:58

推 westgatepark: 給抓bug獎金google和微軟這些科技公司都有 08/16 12:58

→ dinosd2: 麼其他犯罪的事情嗎? 08/16 12:58

推 z897899878: 以valae的規模7500就是在羞辱人啦 08/16 12:58

→ westgatepark: 又不是只有valve在給早是就行之多年的制度了 08/16 12:58

推 hduek153: 公司沒義務付錢白帽也沒義務主動告知阿 08/16 12:59

推 Marginals: 一開始就說白帽這樣是犯罪，後面怎麼扯都是屁了啦，幫 08/16 12:59

→ Marginals: 人抓蟲還要被當罪犯 08/16 12:59

推 tsairay: 白帽也不是只靠賞金為收入,靠名氣拿固定收入也很重要 08/16 13:00

→ hduek153: 所以大公司才會懸賞bug鼓勵人家告知 08/16 13:00

推 dinosd2: 新聞沒採訪這位白帽，所以無法得知7500到底對他而言是多 08/16 13:01

→ dinosd2: 還少，如果真認為少的話可能早就講話了吧 08/16 13:01

→ hduek153: 至於錢的問題真的沒必要討論人家覺得少可能下次就不幹 08/16 13:01

→ hduek153: 而已 08/16 13:01

→ jupto: 我從頭到尾都在說賞金太少的爭議抓語病打也很無聊啊會提 08/16 13:02

→ jupto: 犯罪只是在說抓到蟲也沒有其他輕鬆變現的管道到頭也只能 08/16 13:02

→ jupto: 看公司良心給多少就多少 08/16 13:02

推 kenny840719: 怎麼會沒變現可能把方法拿去賣一定會有人出更高價 08/16 13:02

推 hinanaitenco: 醫生幫你開刀你告他傷害罪的概念 08/16 13:02

→ dinosd2: 另一個可能是人家想要的是名氣而不是錢，畢竟可以找到該 08/16 13:02

→ lomorobin: 駭客怎麼懂行情推文說不夠就不夠懂 08/16 13:02

→ hinanaitenco: 你說實打實的犯罪然後現在說別人是抓語病ww 08/16 13:03

→ dinosd2: 公司的工程師找不到的Bug，而且公司規模那麼大 08/16 13:03

推 z897899878: 少的也不能怎摸樣因為真的不是義務，但丟臉的是valve 08/16 13:03

→ z897899878: 之後我看願意幫助的白帽都要沒了喔 08/16 13:03

推 brian7045: 說7500美元少的，有多少人是真的可以當下拿出7500美元 08/16 13:03

推 theseusship: 資格認證大師又要變成語病大師了喔，讚讚讚 08/16 13:04

推 hanz124: 16樓好了啦，冷靜一下再看自己說的話，不要秀下限 08/16 13:04

推 dinosd2: 輕鬆變現的管道?以這種程度的工程師，你真認為找不到地方 08/16 13:05

→ dinosd2: 賣情報嗎?不要在那邊把臉伸出來給人打好嗎 08/16 13:06

推 z897899878: 7500有很多嗎?你要不要看一下美國那邊的工資開多少? 08/16 13:06

推 jupto: 拿去賣就真犯罪啦我原本想表達是要拿這bug變現就一定會犯 08/16 13:07

→ jupto: 罪所以他根本沒有除了回報公司以外的選擇 08/16 13:07

推 dinosd2: 你這個又講錯了，誰說賣情報就一定是犯罪? 08/16 13:09

推 a0952864901: 不知道變現不變現有什麼好吵的人家搞不好根本不在意 08/16 13:11

→ a0952864901: 這些錢旁邊喊什麼燒啊 08/16 13:11

→ baddad: 好猛 08/16 13:14

推 wilson200106: 玩手遊發現有bug所以上來po文問這樣犯罪了嗎 08/16 13:15

推 baia8053: 16f就台灣老闆的思維吧 08/16 13:17

→ baia8053: 你發現我網頁的bug 我要告死你^^ 08/16 13:17

推 babyIam: 某推文真的讓人開眼界 08/16 13:17

推 adgbw8728: 我看到機車鑰匙沒拔幫他拿下來放到前面置物櫃請問我 08/16 13:17

→ adgbw8728: 犯罪了嗎 08/16 13:17

→ SuperSg: 看到朋友沒在七夕陪他女朋友所以我幫忙陪，請問有犯法嗎 08/16 13:19

推 gab7912: 幹嘛跟那個id認真只會一直跳而已 08/16 13:19

推 z897899878: 樓上比喻錯誤喔，白帽只有告知車主沒有動手拔鑰匙喔 08/16 13:20

→ oldk13: 凹成這樣還不如不要回冷處理，回推回到這麼沒下限，是不是 08/16 13:20

→ oldk13: 不知道什麼叫丟人現眼？ 08/16 13:20

推 LuMya: 有夠寒酸 7500 08/16 13:21

推 borhaur: 最一開始不就一口咬定是犯罪嗎 08/16 13:22

推 tripleleft: 犯罪ww16摟先去查查白帽駭客是什麼好嗎 08/16 13:25

推 xkiller1900: 10萬美我都不覺得多... 08/16 13:25

→ xkiller1900: 7500是打發叫化子? 08/16 13:25

推 fairymomo: 跳針無敵別人說一句拿十句抵我以為來到八ㄍ..咦? 08/16 13:26

推 bitcch: 一般漏洞獎金會根據攻擊手法以及危害程度來決定 08/16 13:26

推 yoyo178134: 說真的少的大概是半懂吧 08/16 13:28

→ yoyo178134: 黑客沒有立場去跟公司要更多 08/16 13:28

→ yoyo178134: 公司願意給他ok就結案了 08/16 13:28

→ yoyo178134: 要更多等等被起訴再公布漏洞不是雙輸嗎 08/16 13:28

→ yoyo178134: 黑客都有自己底線在 08/16 13:28

→ suichui: 羨慕 08/16 13:31

推 George728: 在台灣你會被告 08/16 13:32

→ xkiller1900: 他給多少當然都沒錯，我只覺得你那麼大公司讓人看低 08/16 13:33

推 asdasd02tw: 又多了一個跳針id 可以黑單了嘻嘻 08/16 13:33

推 protess: 奇怪，拿錢的都沒說什麼了，旁邊在喊很少是怎樣 08/16 13:35

推 ruby080808: 7500真的給得有點少 08/16 13:36

推 tkc7: 好歹加個0 08/16 13:41

推 DMGA: 16樓笑死，還實打勒 08/16 13:41

推 abd86731: 給的少就是提高下次駭客利用漏洞搞你的機會啊看公司要 08/16 13:43

→ abd86731: 怎麼衡量囉 08/16 13:43

推 zxc123519: 那賞金也太便宜了吧 08/16 13:44

推 Mjun: 笑死被打臉還一直跳針哭哭哦哈哈 08/16 13:45

推 s8018572: 駭客賺進二十幾萬 08/16 13:45

推 splitline: 要更多錢不會被起訴好ㄇ，這種本來就類似僱傭關係（類 08/16 13:46

→ splitline: 似冒險者接案XD），要求加點薪是ok的 08/16 13:46

推 x159753852: 為啥一堆人覺得7500美很少 08/16 13:48

推 holycity: 某樓秀下限這就像是張貼尋狗啟示別人幫你找到狗然後還 08/16 13:48

→ holycity: 說沒必要給對方回報有夠好笑 08/16 13:48

推 ruby080808: 因為真的蠻少的，這個損失上限很高，fb之前斗內漏洞給 08/16 13:48

→ yyc1217: 有時候追求的不是金錢而是我先發現 08/16 13:49

→ ruby080808: 1萬美，特斯拉1元換400萬汽車給4萬美 08/16 13:50

→ ruby080808: 樓上講的那個最近就有實例了，有個盜了價值6.1億美元 08/16 13:51

推 hw1: 我也覺得7500有點少不過可能也是V社他們對自己bug的嚴重程度 08/16 13:51

→ hw1: 去決定賞金的 08/16 13:51

→ ruby080808: 的加密貨幣他全還，官方給50萬美元賞金他不要 08/16 13:51

推 s8018572: fb跟特斯拉的規模都不知道比valve大幾倍== valve公司沒 08/16 13:52

→ s8018572: 有上市員工大概也才三百多人 08/16 13:52

推 angel0328: 不給的話下次找到的漏洞搞不好更嚴重給了還能刷一波 08/16 13:53

推 i2285: 不能刪留言的好處就是可以看到有人一直跳針xD 08/16 13:56

→ linzero: 駭客對金額表示過意見嗎？ 08/16 13:58

推 sars7125889: 醫生開刀一定都犯了傷害罪阿原來有人說過了 08/16 14:02

推 ArcueidY: 台灣公司，你居然發現有漏洞，不管真的假的先把你告上法 08/16 14:03

→ ArcueidY: 院。 08/16 14:03

推 td789456123: 某樓邏輯太秀了吧，跳針之鬼 08/16 14:05

推 aa91300tw: 7500美XD 08/16 14:09

推 harry2014: 被密醫醫好之後告傷害真賺 08/16 14:10

推 TheVerve: 7500超少吧 08/16 14:10

→ bhshin: 總是有不懂裝懂的拉不下臉 08/16 14:10

推 hooll111: 檯面上白帽檯面下黑帽:) 08/16 14:11

推 holysea: 白帽子就是賺心安理得的賞金，不是所有人會去違法 08/16 14:14

→ gn02297273: 跳針笑死XD你乾脆說臥底警察也要照組織犯罪條例抓去關 08/16 14:20

→ gn02297273: 好了。 08/16 14:20

推 hijodedios36: 好了啦笑死 08/16 14:20

→ alchemy123: 這麼大包的漏洞 7500美??? 08/16 14:21

噓 enemyli: 就寫合作的賞金平台了還在耍什麼白癡去讀書啦 08/16 14:23

推 pionlang5566: 覺得多一個零價位才差不多 08/16 14:24

→ pionlang5566: 這種漏洞很重要但駭客找漏洞的工作不是天天有 08/16 14:25

→ pionlang5566: 價格太低是叫駭客沒工作時要吃自己? 08/16 14:26

推 g5637128: 上面都有人貼hackerone網址了，點進去看就不用吵了 08/16 14:30

→ g5637128: https://i.imgur.com/6FUFcqQ.png 08/16 14:30

圖https://i.imgur.com/6FUFcqQ.png?e=1667534010&s=l8Yi0WKKk5y0sDzhS3rV5g, 駭客找出Steam錢包無限資金漏洞，Valve緊急修復

→ g5637128: https://hackerone.com/reports/1295844 08/16 14:33

→ su4vu6: 還好他沒直接買那個全遊戲整合包 08/16 14:37

→ soccer103: 攔截 request 修改儲存金額就行？ 08/16 14:42

→ soccer103: 涉及金流後端還沒驗金額確認喔 08/16 14:42

→ soccer103: 這 bug 有點誇張 08/16 14:42

※ PTT留言評論

※ 發信站: 批踢踢實業坊(ptt.cc) ※ 轉錄者: g5637128 (1.161.98.125 臺灣), 08/16/2021 14:46:20

推

suichui08/16 14:56可以把所有遊戲+DLC全部包了，能課金的全部課爆

推

chaoliu08/16 15:11Riot果然是佛心公司所有獎金都20000起跳

推

cheeseup08/16 15:15沒想到還有如此貼近現實的show me the money

噓

Sunerk08/16 15:16你沒說他黑的都說犯罪了？腦子不好使是吧

推

abraxas08/16 15:26發現不懂就閉上嘴，一直扯有夠難看= =

推

budaixi08/16 15:57好少。

推

cattgirl08/16 16:16發獎金不錯了蘋果公司直接報警

推

cheeseup08/16 16:19轉過來的文章，推文已經有一堆狀況外的結果這邊還是有

推

pokiman08/16 16:33這麼大的漏洞給個十萬也是應該的

→

dxzy08/16 16:35七千五有點少了還有樓主牛頭人

→

dxzy08/16 16:37那些狀況外的人是本來邏輯就不同常人不要太意外

推

zxc233118908/16 16:42這麼嚴重的漏洞7500鎂喔這隨便開個代購賺都超過吧

→

mothertime08/16 16:46白帽根本就是防盜工程師

→

lovinlover08/16 17:00想賺錢就不會當白帽了

推

qwe8801608/16 17:06稱不上太大漏洞吧，這種後續補救蠻簡單的，就通通鎖帳

→

qwe8801608/16 17:07實體商店的話才比較需要擔心這種事

噓

MotoDawn08/16 17:17公道價就是7500啊 484很多人還是看不懂

推

israelii08/16 17:25白帽駭客跟各大資安公司都有在合作

→

israelii08/16 17:26已經算是一門高專業性的職業了結果被鄉民講成這樣笑

→

israelii08/16 17:26死

推

fishxd109608/16 17:29給獎金就是對雙方都好的結果，金額夠多使駭客認為私下

→

fishxd109608/16 17:29利用漏洞不划算

推

DillMichel08/16 17:56公道價

推

aa147788808/16 18:08至少Valve肯給之前Google說好要給還不給

推

jim859608/16 18:18想說推文怎麼那麼沒水準原來是西洽轉來的

推

bu1708/16 18:19Show me the money G胖版

推

rangzhe08/16 18:317500鎂好少

→

r8527060708/16 18:45如果以一成來說 7500美的比例是差不多了

→

dxzy08/16 18:587500當然不是知道行情而是覺得自己如果這麼厲害希望能更多

→

dxzy08/16 18:59看到這篇最大的用途就是多整理了幾本牛頭人就這樣

推

r8527060708/16 19:02主要討論點是這並非對價關係啊

→

r8527060708/16 19:02我後來有在後面提到了酬謝並非有實質對價

→

r8527060708/16 19:02未發生行為不能做為對價根據

→

r8527060708/16 19:03路邊撿到200萬不能因為

→

r8527060708/16 19:03「你如果後謝要給我更多連200萬都拿回來」

→

r8527060708/16 19:05我們並不知道兩造間是怎麼決定的

→

r8527060708/16 19:05太高或是太低在沒有對價關係的前提下

→

r8527060708/16 19:05真的只是各人喊各人爽的

推

JustinPai08/16 19:09玩steam也開掛

→

g563712808/16 19:12牛頭人是什麼意思？

→

r8527060708/16 19:14拼音輸入牛(N)頭(T)人(R) 等等警察就要來了

推

marc4708/16 20:08佛心公司，反觀

推

butten98608/16 20:31這漏洞當初要是賣到黑市，我看不只7500鎂

推

godfight08/16 20:32黑客駭客

→

r8527060708/16 21:20vlave的損失≠你的漏洞獲利

→

shcjosh08/16 21:29懸賞漏洞明標價碼不是很正常嗎

→

r8527060708/16 22:30我是沒看這麼細啦本回事情本身有懸賞價碼嗎

→

r8527060708/16 22:31我以為這個事件本身並沒有懸賞所以說這不是對價關係

→

r8527060708/16 22:31但無論如何別人的漏洞不是作為自己得利的應當

→

r8527060708/16 22:33就像銀行提款機故障不停吐鈔

→

r8527060708/16 22:33儘管問題不在於自己但也不能因此主張這些多出來的吐

→

r8527060708/16 22:33鈔歸於自己

→

r8527060708/16 22:33程式漏洞造成的假資金也是一樣的

→

shcjosh08/16 22:34steam跟大部分的企業一樣漏洞是用cvss評分每個等級的漏

→

r8527060708/16 22:35倒不如說如果我是說如果

→

r8527060708/16 22:35這名駭客告知valve「不更大讓利就轉賣」屬實

→

r8527060708/16 22:35則侵害責任是他要扛怎麼說這鍋都太大了

→

shcjosh08/16 22:35洞有他的價格在

→

r8527060708/16 22:37喔這個評分的話 7500美算高的了

→

r8527060708/16 22:38我記得hackerone有這個表格 9分級也有1500

→

r8527060708/16 22:39goohle倒是有獎勵金制度只是不清楚詳細

推

ctes94000808/16 22:52前面推文...

推

guogu08/16 23:27我記得steam你幫他抓漏洞它價格都有分級標好了

→

guogu08/16 23:27什麼等級就給多少錢

推

xtimer08/16 23:5216樓羅輯就是我家門沒關，誰來提醒一聲我們沒關就告死他

推

Kamikiri08/17 07:13上面推文網址不就有寫Steam懸賞最高只開到7500嗎？

推

Kamikiri08/17 07:17就是明定價碼了外人看來應該給更多可能也沒辦法多給

→

Kamikiri08/17 07:17而且駭客應該也是接受這個價碼才去挖漏洞的

推

modelfucker08/17 09:57哇操太爽了吧

推

tsstho08/17 10:12用台灣的思維只會被當成罪犯，國外當成資安研究人員

→

tsstho08/17 10:137500美金解決這件事確實是便宜，不然他拿去賣給其他黑客

→

tsstho08/17 10:13組織用公司損失更大

→

tsstho08/17 10:14steam版無限金錢XD

推

badend876908/17 10:36整天幫別人嫌獎金太少才真的笑死

→

dxzy08/17 10:56照你的邏輯漏洞別人找的、也已經補好大家除了喔還能推啥

→

dxzy08/17 10:57還有請介紹一位整天嫌別人獎金太少的人推發文紀錄給我看看

→

dxzy08/17 10:57不然你也只是成天找東西擅自笑死走開的那種 (ﾟ∀。

→

dxzy08/17 10:58在我們業界對於這種路上忽然笑出來的人都稱之為

推

cute10103708/17 13:44一堆人不懂裝懂，本案其實是比較像，你會給一個跟你

→

cute10103708/17 13:44說你家二樓洗澡間水沒關的人多少錢!或者跟妳說你老婆

→

cute10103708/17 13:44沒穿內褲?

→

cute10103708/17 13:45給的是小氣，但是很多人不給還會生氣.

→

cute10103708/17 13:45報官抓也很有可能

→

dxzy08/17 14:07扯更遠了厲害厲害

→

dxzy08/17 14:14前面推文真的不想看主要分三種人1.講錯不認繼續硬凹的jupto

→

dxzy08/17 14:14 2.吃瓜群眾只是想說7500合不合自己價值觀 3.各種價值觀錯亂

→

dxzy08/17 14:14的提出一些奇怪形容

→

dxzy08/17 14:152類居然能衍伸出其他話題主要是大量3類在發威

→

dxzy08/17 14:16兩軍作戰打一打發現變世界大戰從拿槍的到拿掃把的大媽都來

→

dxzy08/17 14:17主要可怕的不是不知道行情而是那些第一時間就想拿東西的價

→

dxzy08/17 14:21值爭論我要是XXX可以是多少這種無限接近幻想的行為來爭論

→

r8527060708/17 15:11一如我前面所說對方估計損失 ≠ 你該獲得的

噓

jamesho874308/17 15:18都用hackerone 平台還犯罪笑死這不是自己私底下去

→

jamesho874308/17 15:18破的好嗎? 廠商-平台-白帽機制不懂?

噓

jamesho874308/17 15:21抓到蟲要賣一定是可以賣的還這麼大的蟲賣黑市不難

→

jamesho874308/17 15:21 只是白帽不做這種犯罪行為

推

jamesho874308/17 15:24漏洞平台有一套機制 bug怎麼分級什麼程度給多少錢

→

jamesho874308/17 15:24 是有一個公開的機制的

推

jamesho874308/17 15:35找到漏洞自己可以不用賣資訊給別人就好不容易被抓

→

jamesho874308/17 15:35 雖然說也算犯罪行為

推

jamesho874308/17 15:54重點 1.不是犯罪 2.給錢一定要給 3. 7500美公道價 4.

→

jamesho874308/17 15:54不想7500不當白帽可以賣黑市

噓

pppli08/17 15:57純噓7500 無恥

推

jamesho874308/17 16:27有時候你就算發現了能影響全世界的bug也一樣是公道

→

jamesho874308/17 16:27價啦要當好人就是這樣不是說你救了人一命那個人

→

jamesho874308/17 16:27的身家財產跟下半輩子都要交給你

→

dxzy08/17 16:50至少諾貝爾和平獎可能還會考慮你一下 qq

推

r8527060708/17 18:09要注意的是未實際發生的損害估值不等於實際產生價值

→

r8527060708/17 18:09看上去有人對估值隨自己喊大方大別人的方？

→

r8527060708/17 18:11如同前面所說覺得要更大方那麼輪到自己

→

r8527060708/17 18:11在生死存亡之際被陌生人救援後該把自己身家分出去嗎

→

r8527060708/17 18:11「沒有我你早升天了」

→

r8527060708/17 18:11大方不大方之前還是審慎考慮的

→

r8527060708/17 18:11不過我想這類只是隨便說說

推

jamesho874308/17 18:49企業跟白帽大家都是共利啦看起來好像因為企業個體大

→

jamesho874308/17 18:49獲得的利益比較多值不值得看個人

噓

jamesho874308/17 20:54除了拿去賣就犯罪但白帽還是有不講管你去死被壞人發

→

jamesho874308/17 20:54現的選擇也有我就是讓其它人知道但我沒利用這個賺

→

jamesho874308/17 20:54錢的選擇不一定要通報公司

→

r8527060708/18 03:02也不對啊你沒通報怎麼能說是發現的

→

r8527060708/18 03:02那我也可以主張我其實也是白帽

→

r8527060708/18 03:02這個資金漏洞其實我也早早發現只是沒講？

推

jacky841224j08/19 01:00看到某樓就想到之前台灣修改車票的駭客，告訴統聯

→

jacky841224j08/19 01:00結果被告，有夠可憐

推

selvester08/20 12:19弱智企業會讓0day發現者白帽，不願意共同改進。最好

→

selvester08/20 12:19把exploit經過第三國洗完回原國黑市，屆時洗一圈法務

→

selvester08/20 12:19 和兩光外包系統商都不知如何是好

噓

qq20408/21 01:30白癡才告白帽，是不是想搞死自己，不懂就閉嘴

→

qq20408/21 01:30以為全世界都跟台灣一樣智障?

推

Risha556608/21 13:03他是私下提醒耶私下提醒還告就真的太白癡了QQ