PTT推薦

Fw: [新聞] 駭客找出Steam錢包無限資金漏洞,Valve緊急修復

看板Steam標題Fw: [新聞] 駭客找出Steam錢包無限資金漏洞,Valve緊急修復作者
g5637128
(好睏)
時間推噓33 推:40 噓:7 →:83

※ [本文轉錄自 C_Chat 看板 #1X6UBY_P ]

作者: SuperSg (○(#‵ ︿′ㄨ)○森77) 看板: C_Chat
標題: [新聞] 駭客找出Steam錢包無限資金漏洞
時間: Mon Aug 16 12:00:31 2021

https://bit.ly/37M013S
駭客找出Steam錢包無限資金漏洞,Valve緊急修復

任何含有線上儲值付款功能的電子平台皆可能有漏洞風險,Steam 也不例外。上週
Hackerone 賞金平台有一位駭客發布了 Steam 的錢包系統存在一個漏洞,令其可在某個帳號底下無限生成資金,該功能經 Valve 確認後已緊急修正,並支付 7,500 美元的報酬給該駭客。

根據 Hackerone 報告,代號 Ddrbrix 的駭客在 8 月 9 日私下提醒 Valve 注意錢包系統漏洞,這個漏洞的原理基本上是攔截任何利用 Smart2Pay 支付方式的交易,修改儲存資金的金額 —例如 1 美元改成 100 美元— 幾乎是 Steam 平台的偽鈔技術了







「我認為影響非常明顯,攻擊者可以此來賺錢,破壞 Steam 市場,用以低廉的價格出售遊戲序號等等,」Ddrbrix 在報告中表示。

之後,Valve 官方人員快速測試該漏洞後緊急修復,並感謝這位駭客找出致命的漏洞,支付 7,500 美元作為賞金

許多遊戲發行商皆有與 Hackerone 的駭客進行合作找出漏洞,例如任天堂、Rockstar
Games 或 Riot Games,而 Riot 還曾為自己旗下的《特戰英豪》反作弊程式「Vanguard」準備祭出 10 萬美元的賞金給發現漏洞的白帽駭客。

=====

在買遊戲的遊戲中開錢無限,大概是這個意思

--
十部常被人用於學術研究的
https://i.imgur.com/GyOsasd.png 咲子 https://i.imgur.com/fE4hU8y.png 勝子

圖https://i.imgur.com/GyOsasd.png?e=1667540066&s=m7MGVcxbkEwwL_qp9RPMog, 駭客找出Steam錢包無限資金漏洞,Valve緊急修復
圖https://i.imgur.com/fE4hU8y.png?e=1667522395&s=IlPzwwstZ0J3bjD5Bn7k3Q, 駭客找出Steam錢包無限資金漏洞,Valve緊急修復
https://i.imgur.com/e9NJM3c.png 寧寧 https://i.imgur.com/IRpmjZo.png 舞櫻
圖https://i.imgur.com/e9NJM3c.png?e=1667537739&s=iSdBEPJYdO6yC0SqHZ74Fg, 駭客找出Steam錢包無限資金漏洞,Valve緊急修復
圖https://i.imgur.com/IRpmjZo.png?e=1667530901&s=pjZ-g7uOHqSGtcX6RS9SPg, 駭客找出Steam錢包無限資金漏洞,Valve緊急修復
https://i.imgur.com/PMWbgiI.png 亞愛 https://i.imgur.com/tQUc4MC.png
圖https://i.imgur.com/PMWbgiI.png?e=1667521477&s=85tQHhB7kh7ePxf5YehpjQ, 駭客找出Steam錢包無限資金漏洞,Valve緊急修復
圖https://i.imgur.com/tQUc4MC.png?e=1667501497&s=ll5nQYRTcjBo1ydCMhJK1g, 駭客找出Steam錢包無限資金漏洞,Valve緊急修復
https://i.imgur.com/130juok.png 美來 https://i.imgur.com/jAyLhqd.png 可南子
圖https://i.imgur.com/130juok.png?e=1667554223&s=a4nxkt6ZD9ikWnqZvR64Jw, 駭客找出Steam錢包無限資金漏洞,Valve緊急修復
圖https://i.imgur.com/jAyLhqd.png?e=1667500617&s=j2JRO_RdSkdpdHtsi2nrnw, 駭客找出Steam錢包無限資金漏洞,Valve緊急修復
https://i.imgur.com/nmVVgPw.png 凜華 https://i.imgur.com/QWDEady.png
圖https://i.imgur.com/nmVVgPw.png?e=1667537991&s=2MMOrBQVoVd7xbK22Qr1MA, 駭客找出Steam錢包無限資金漏洞,Valve緊急修復
圖https://i.imgur.com/QWDEady.png?e=1667523921&s=VdJW5kxHaQ_nyEVkHklfuw, 駭客找出Steam錢包無限資金漏洞,Valve緊急修復

--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 114.32.239.143 (臺灣)
※ 文章網址: https://www.ptt.cc/C_Chat/M.1629086434.A.FD9
pgame3: Show me the money 08/16 12:02
yys310: 純愛 08/16 12:03
storyo11413: 這反應真快 08/16 12:06
a122771723: 開金手指 08/16 12:06
Killercat: 7500美刀有點低哩.... 08/16 12:07
sillymon: greedisgood 08/16 12:07
ssarc: 還能用就能把steam遊戲買齊破關了 08/16 12:07
frankinc: 7500元耶 好羨慕 08/16 12:07
ZunYin: 才給7500 08/16 12:07
RevanHsu: 7500就打發掉 真廉價 08/16 12:08
r85270607: 你各位覺得要多少? 08/16 12:09
tim5201314: 20萬還不錯吧 08/16 12:09
alinwang: 真用這個BUG灌錢是犯法且帳號會被封鎖吧. 08/16 12:12
relax1000: 不能用價值看吧.難道我撿到別人家鑰匙還回去要索取對 08/16 12:12
relax1000: 方50%家產嗎 08/16 12:12
jupto: 給獎金已經夠給面子了 這種駭客是實打的犯罪 就算靠這方式 08/16 12:14
jupto: 獲利也會被追討 08/16 12:14
palapalanhu: 好險被發現 08/16 12:15
r85270607: 算其中的一成好了 那麼買遍steam遊戲需要兩百萬台幣嗎 08/16 12:15
lomorobin: 終於能RTA這個買遊戲的遊戲了? 08/16 12:15
Xpwa563704ju: 很多白帽本來就做功德的吧 08/16 12:17
hinanaitenco: 白帽也被說犯罪 笑爛 08/16 12:17
Solonius: 絕對超過200萬台幣... 08/16 12:18
wk415937: 才7500美 08/16 12:19
combokang: 16樓在說什麼...本來就是遊戲公司和平台合作 08/16 12:20
jupto: 行為上要說他犯罪也沒錯啊 就只是要不要告的問題 真要告絕 08/16 12:21
jupto: 對可以 只是留他們免費幫公司debug更符合利益罷了 08/16 12:21
shortoneal: 這種賞金你不給人,等等被真正的壞人弄翻 08/16 12:21
kingroy: 7500真的有點少 08/16 12:22
guava664251: 找到漏洞但沒有濫用犯了什麼罪來著 08/16 12:22
combokang: 找到漏洞不代表有進行破壞啊 有漏洞是你的問題 08/16 12:23
silverair: 笑死 我的程式有漏洞被發現了,我要告死發現的人 08/16 12:24
darkestnight: 16樓根本不知道什麼是白帽駭客吧 你自己去google 08/16 12:24
Shin722: 至少給10萬美吧?這算很嚴重的欸 08/16 12:25
dinosd2: 有人是非黑即白的,駭客就是駭客,管你黑帽白帽 08/16 12:25
jupto: 找到漏洞要完全排除使用過它幾乎不可能吧 行為上要完全不 08/16 12:25
jupto: 給人能告的空間很難吧 08/16 12:25
oldk13: 某樓可能沒什麼網路知識,就別跟他計較了 08/16 12:26
jeff860109: 沒被告就很好了還嫌錢少喔 08/16 12:26
Giornno: 笑爛,我們來解決發現問題的人,是這個意思嗎 08/16 12:26
tw19930419: 還犯罪哩 笑死 08/16 12:26
dinosd2: 才講沒多久又一位認為所有駭客都是黑的人出現了 08/16 12:26
NoLimination: 沒加碼送遊戲喔 08/16 12:27
Giornno: 那當屁白帽,反正都會被吉 08/16 12:27
Richun: 你敢告白帽駭客的話 就不會有白帽跟你合作了 剩下黑帽搞你 08/16 12:27
Richun: 這跟醫生動手術你就一定要告他傷害一樣好笑 08/16 12:28
Khatru: 好歹給個一萬以上吧甚至給個十萬也不為過 08/16 12:28
jupto: 我又沒說他是黑的 只是說站在公司的立場可以完全不給錢也 08/16 12:29
jupto: 不給予任何感謝 白白收下這個資安debug的結果 08/16 12:29
LipaCat5566: 法律上是不行沒錯 道義上他救了G胖 7500跟v社比起來 08/16 12:29
whathefuc: 有也不會用 不用花錢的steam還有什麼樂趣? 08/16 12:29
LipaCat5566: 真的微不足道 08/16 12:29
shinobunodok: 人家特地來通知你哪裡有漏洞 你告他?你是不是覺得 08/16 12:29
shinobunodok: 多一個來攻擊你的人會比較爽? 08/16 12:29
r02182828: 我們公司絕對不跟恐怖分 我是說駭客談判 08/16 12:30
shortoneal: 也是有聽過先把錢幹走,你付錢才還你的啦,但是這種就 08/16 12:30
dinosd2: 你這種講法就跟你出門時鄰居提醒你門沒鎖,你還靠北鄰居 08/16 12:30
shortoneal: 很有爭議了,但也是那種公司裝死修掉不給錢的太多 08/16 12:30
dinosd2: 是不是想進家裡偷錢 08/16 12:30
z897899878: 跟你講你家窗戶破了還要被屋主告?笑死 08/16 12:31
Khatru: 到底在講三小啦,要死是屁都不吭的把漏洞修好,就可看下 08/16 12:32
Khatru: 次人家找到漏洞會不會告訴你 08/16 12:32
z897899878: 說法律上不行的說說是犯了那條法律啊 08/16 12:32
shortoneal: https://www.ithome.com.tw/news/139868 08/16 12:32
shortoneal: 比如說大家最愛的M$ 08/16 12:32
Giornno: 白帽出發點不談啦,哪知道人家原始動機是想挖bug圖利還真 08/16 12:32
Giornno: 的只是想抓蟲? 08/16 12:32
kerry0496x: 可能有讓駭客選遊全遊戲免費玩 vs 折現,兩種選項? 08/16 12:32
Giornno: 但他告訴遊戲公司,就該有賞,有沒有用bug圖利,那是另一 08/16 12:33
Giornno: 回事 08/16 12:33
shortoneal: 提供專業技術就是值得分享利益,有問題嗎? 08/16 12:33
Giornno: 你這點獎勵都不肯給,還要告他,以後真的沒白帽幫你抓蟲 08/16 12:34
Giornno: 了 08/16 12:34
shortoneal: 喔喔,你的意思說是挖bug偷用,但是這個行不通 08/16 12:34
shortoneal: 公司一下就發現了,而且這就真的有法律問題了 08/16 12:34
FncRookie001: 才給7500? 08/16 12:34
lgsgameps2: 7500其實滿少的 08/16 12:35
kerry0496x: steam這種靠網路平台賺錢的,怎麼可能不瞭解白帽駭客 08/16 12:35
kerry0496x: 文化? 某樓的公司立場,顯然不適用網路平台公司。 08/16 12:35
neerer: 好像有人以為駭客本身就是違法的存在,笑死 08/16 12:36
dinosd2: j仁兄要檢討白客駭帽前,請先檢討G胖底下的工程師為何沒 08/16 12:36
kerry0496x: 你了解的公司文化顯然缺乏與白帽駭客互動這塊 08/16 12:36
dinosd2: 發現這麼嚴重的Bug,還要業外人士提醒 08/16 12:36
andy86tw: 7500只是象徵意義而已啦== 08/16 12:36
edinhon: 笑死 白帽被說成是犯罪 有夠可憐 08/16 12:36
Khatru: 白帽子打我小學生時就聽過了,不懂得就別出來嘴砲了 08/16 12:37
hsinhanchu: 反正你也沒時間玩… 08/16 12:38
spfy: 會用白帽表示本身就已經沒有惡意了... 08/16 12:39
mikeneko: 這漏洞影響很嚴重,要慶幸沒被公布 08/16 12:39
dinosd2: 7500美應該是單純發給該位白帽的獎金,G胖公司有在跟該組 08/16 12:39
dinosd2: 織合作表示應該本來就有贊助金之類的,可能組織本身也會 08/16 12:40
jupto: 公司為了長期利益當然給白帽好生養著啊 只是說賞金多寡就 08/16 12:40
jupto: 公司隨意啊 它沒有義務一定要給白帽任何金錢或福利啊 08/16 12:40
dinosd2: 給予獎勵金之類的 08/16 12:40
Rivendare: 駭客不能做慈善喔 = = 會這樣告知本來就沒打算洗錢吧 08/16 12:40
windowsill: 不知道白帽就算了還一直在嘴硬 到底? 08/16 12:40
Khatru: 不要嘴砲啦,乖乖承認不懂有這麼難喔? 08/16 12:41
dinosd2: 沒有義務?是啊,看看上面那個網址,錢少給了就把自己找到 08/16 12:41
violegrace: 沒給錢可以啊 只是你說人家是在犯罪欸 08/16 12:41
dinosd2: 的統統公佈在網路上,看你MS有多少人力去搞定那些漏洞 08/16 12:41
gyc880323: 樓上一堆鬼島邏輯 : 告幫你找bug bounty 的白帽 08/16 12:42
CHU094080: 7500只是檯面上的啦 底下流動一般人不會知道 08/16 12:42
z897899878: 自己養的debug team一個月就不只7500了還不一定抓得到 08/16 12:43
tony811207: 給太少了吧 08/16 12:43
Steyee: 7500聽起來就像績效那樣的獎金吧,這些白帽應該平常就有 08/16 12:43
Steyee: 固定的薪資了 08/16 12:43
z897899878: 白帽又不是受僱員工哪來的工資??? 08/16 12:44
KJC1004: 還以為是SpiffingBrit 08/16 12:47
w3160828: 白帽有些是興趣在挖蟲,人家有其他正職 08/16 12:47
bartender01: 好了啦 犯罪兩個字都打出來就不要再遮了 無知不是問 08/16 12:48
bartender01: 題 不願意承認無知比較可怕 08/16 12:48
jupto: 反正我主要是要說7500太少這件事 完全沒立場吵 因為公司有 08/16 12:49
jupto: 給錢就已經是很佛了 它完全沒有付這錢的義務在 08/16 12:49
YaLingYin: 白帽很多做功德的耶 08/16 12:49
dinosd2: 沒人給台階下,當然要繼續嘴硬,還扯到公司幹嘛給錢感謝 08/16 12:49
dinosd2: 白帽駭客,搞不清楚狀況的人當然搞不清楚狀況 08/16 12:50
a0952864901: 題外話 他們這類團體大多會跟公司合作幫忙找漏洞 我 08/16 12:50
a0952864901: 之前公司做網路相關產品 去類似機構測過一次 測完真 08/16 12:50
a0952864901: 的可以幫你抓一堆軟硬體破解手法出來 費用那時候是付 08/16 12:50
a0952864901: 了5萬鎂 08/16 12:50
z897899878: 被人看沒有而已啦,一個大公司幫他省了多少錢結果才給 08/16 12:51
z897899878: 一點打發,根本不尊重專業還在還很佛www 08/16 12:51
r02182828: 公司是沒這個義務給錢 不過人家不是你養的也沒欠你 不 08/16 12:51
r02182828: 給就準備花更多擦屁股 08/16 12:51
lomorobin: 白帽通常公布的時候官方早就修了 08/16 12:51
theseusship: 人家valve在懸賞網站開懸賞,啊真的有人達成條件了 08/16 12:51
theseusship: 推文又有人在說不用付那筆錢,是不是當懸賞是放屁啊 08/16 12:52
dinosd2: 因為白帽發現Bug時一定是先聯絡官方,等確定修好後再跟官 08/16 12:52
dinosd2: 方共同公佈有關這個Bug的事 08/16 12:52
w3160828: 7500應該是依照那個蟲的等級去定義的,我們外人可能覺 08/16 12:52
w3160828: 得危險,但是定義的人可能覺得就7500的價值 08/16 12:52
KJC1004: 公司當然沒必要付錢給白帽啊 但是下次exploit就直接賣給 08/16 12:53
HeyDrunk: 十六樓好了啦 08/16 12:53
KJC1004: 競爭對手或是真正的犯罪組織了 自己想想吧 把法律當成一 08/16 12:53
KJC1004: 切標準?你知道立法委員是群智障嗎? 08/16 12:53
weltschmerz: 一下說錢太少 一下又沒義務給錢 我真的快笑死 08/16 12:53
theseusship: https://hackerone.com/valve 08/16 12:53
lomorobin: 獎金擺在那,你不爽拿可以用這個漏洞轉黑錢啊。 08/16 12:53
tom282f3: SpiffingBrit XD 08/16 12:54
theseusship: 人家公司在懸賞網站開的頁面啦,裡面回報的不只一筆 08/16 12:54
theseusship: ,沒義務大師快點來判斷一下這些有沒有義務給錢 08/16 12:54
jupto: 從新聞來看這案子似乎不是合作 所以才說抓蟲過程也可能有 08/16 12:55
jupto: 犯罪的可能 而且最主要是他抓到蟲除了告知公司領賞外沒有 08/16 12:55
jupto: 有其他合法變現的可能 08/16 12:55
dinosd2: 也有可能這Bug使用難度高的關係,不是隨便一個Steam玩家 08/16 12:55
dinosd2: 看懶人包就立刻會用的狀況,所以獎金才會有認知上的落差 08/16 12:55
z897899878: 怎麼變成犯罪的可能了?不是說是實打的犯罪嗎? 08/16 12:56
dinosd2: 那j仁兄邏輯蠻悲哀的,把所有人都當做賊去防範,不願相信 08/16 12:57
hit0123: 看推文就知道台灣為什麼會是鬼島了 先解決敢提出問題的人 08/16 12:57
hit0123: 難怪三不五十能看到指鹿為馬 國王新衣的事情 08/16 12:57
dinosd2: 有人是好心主動幫忙,就算是為了除蟲獎金,該人有做了什 08/16 12:58
westgatepark: 給抓bug獎金google和微軟這些科技公司都有 08/16 12:58
dinosd2: 麼其他犯罪的事情嗎? 08/16 12:58
z897899878: 以valae的規模7500就是在羞辱人啦 08/16 12:58
westgatepark: 又不是只有valve在給 早是就行之多年的制度了 08/16 12:58
hduek153: 公司沒義務付錢 白帽也沒義務主動告知阿 08/16 12:59
Marginals: 一開始就說白帽這樣是犯罪,後面怎麼扯都是屁了啦,幫 08/16 12:59
Marginals: 人抓蟲還要被當罪犯 08/16 12:59
tsairay: 白帽也不是只靠賞金為收入,靠名氣拿固定收入也很重要 08/16 13:00
hduek153: 所以大公司才會懸賞bug鼓勵人家告知 08/16 13:00
dinosd2: 新聞沒採訪這位白帽,所以無法得知7500到底對他而言是多 08/16 13:01
dinosd2: 還少,如果真認為少的話可能早就講話了吧 08/16 13:01
hduek153: 至於錢的問題真的沒必要討論 人家覺得少可能下次就不幹 08/16 13:01
hduek153: 而已 08/16 13:01
jupto: 我從頭到尾都在說賞金太少的爭議 抓語病打也很無聊啊 會提 08/16 13:02
jupto: 犯罪只是在說抓到蟲也沒有其他輕鬆變現的管道 到頭也只能 08/16 13:02
jupto: 看公司良心給多少就多少 08/16 13:02
kenny840719: 怎麼會沒變現可能 把方法拿去賣一定會有人出更高價 08/16 13:02
hinanaitenco: 醫生幫你開刀 你告他傷害罪的概念 08/16 13:02
dinosd2: 另一個可能是人家想要的是名氣而不是錢,畢竟可以找到該 08/16 13:02
lomorobin: 駭客怎麼懂行情 推文說不夠就不夠 懂 08/16 13:02
hinanaitenco: 你說實打實的犯罪 然後現在說別人是抓語病ww 08/16 13:03
dinosd2: 公司的工程師找不到的Bug,而且公司規模那麼大 08/16 13:03
z897899878: 少的也不能怎摸樣因為真的不是義務,但丟臉的是valve 08/16 13:03
z897899878: 之後我看願意幫助的白帽都要沒了喔 08/16 13:03
brian7045: 說7500美元少的,有多少人是真的可以當下拿出7500美元 08/16 13:03
theseusship: 資格認證大師又要變成語病大師了喔,讚讚讚 08/16 13:04
hanz124: 16樓好了啦,冷靜一下再看自己說的話,不要秀下限 08/16 13:04
dinosd2: 輕鬆變現的管道?以這種程度的工程師,你真認為找不到地方 08/16 13:05
dinosd2: 賣情報嗎?不要在那邊把臉伸出來給人打好嗎 08/16 13:06
z897899878: 7500有很多嗎?你要不要看一下美國那邊的工資開多少? 08/16 13:06
jupto: 拿去賣就真犯罪啦 我原本想表達是要拿這bug變現就一定會犯 08/16 13:07
jupto: 罪 所以他根本沒有除了回報公司以外的選擇 08/16 13:07
dinosd2: 你這個又講錯了,誰說賣情報就一定是犯罪? 08/16 13:09
a0952864901: 不知道變現不變現有什麼好吵的 人家搞不好根本不在意 08/16 13:11
a0952864901: 這些錢 旁邊喊什麼燒啊 08/16 13:11
baddad: 好猛 08/16 13:14
wilson200106: 玩手遊發現有bug所以上來po文問 這樣犯罪了嗎 08/16 13:15
baia8053: 16f就台灣老闆的思維吧 08/16 13:17
baia8053: 你發現我網頁的bug 我要告死你^^ 08/16 13:17
babyIam: 某推文真的讓人開眼界 08/16 13:17
adgbw8728: 我看到機車鑰匙沒拔 幫他拿下來放到前面置物櫃 請問我 08/16 13:17
adgbw8728: 犯罪了嗎 08/16 13:17
SuperSg: 看到朋友沒在七夕陪他女朋友所以我幫忙陪,請問有犯法嗎 08/16 13:19
gab7912: 幹嘛跟那個id認真 只會一直跳而已 08/16 13:19
z897899878: 樓上比喻錯誤喔,白帽只有告知車主沒有動手拔鑰匙喔 08/16 13:20
oldk13: 凹成這樣還不如不要回冷處理,回推回到這麼沒下限,是不是 08/16 13:20
oldk13: 不知道什麼叫丟人現眼? 08/16 13:20
LuMya: 有夠寒酸 7500 08/16 13:21
borhaur: 最一開始不就一口咬定是犯罪嗎 08/16 13:22
tripleleft: 犯罪ww16摟先去查查白帽駭客是什麼好嗎 08/16 13:25
xkiller1900: 10萬美我都不覺得多... 08/16 13:25
xkiller1900: 7500是打發叫化子? 08/16 13:25
fairymomo: 跳針無敵 別人說一句拿十句抵 我以為來到八ㄍ..咦? 08/16 13:26
bitcch: 一般漏洞獎金會根據攻擊手法以及危害程度來決定 08/16 13:26
yoyo178134: 說真的少的大概是半懂吧 08/16 13:28
yoyo178134: 黑客沒有立場去跟公司要更多 08/16 13:28
yoyo178134: 公司願意給他ok就結案了 08/16 13:28
yoyo178134: 要更多等等被起訴 再公布漏洞不是雙輸嗎 08/16 13:28
yoyo178134: 黑客都有自己底線在 08/16 13:28
suichui: 羨慕 08/16 13:31
George728: 在台灣你會被告 08/16 13:32
xkiller1900: 他給多少當然都沒錯,我只覺得你那麼大公司讓人看低 08/16 13:33
asdasd02tw: 又多了一個跳針id 可以黑單了嘻嘻 08/16 13:33
protess: 奇怪,拿錢的都沒說什麼了,旁邊在喊很少是怎樣 08/16 13:35
ruby080808: 7500真的給得有點少 08/16 13:36
tkc7: 好歹加個0 08/16 13:41
DMGA: 16樓笑死,還 實打 勒 08/16 13:41
abd86731: 給的少就是提高下次駭客利用漏洞搞你的機會啊 看公司要 08/16 13:43
abd86731: 怎麼衡量囉 08/16 13:43
zxc123519: 那賞金也太便宜了吧 08/16 13:44
Mjun: 笑死被打臉還一直跳針 哭哭哦 哈哈 08/16 13:45
s8018572: 駭客賺進二十幾萬 08/16 13:45
splitline: 要更多錢不會被起訴好ㄇ,這種本來就類似僱傭關係(類 08/16 13:46
splitline: 似冒險者接案XD),要求加點薪是ok的 08/16 13:46
x159753852: 為啥一堆人覺得7500美很少 08/16 13:48
holycity: 某樓秀下限 這就像是張貼尋狗啟示 別人幫你找到狗然後還 08/16 13:48
holycity: 說沒必要給對方回報 有夠好笑 08/16 13:48
ruby080808: 因為真的蠻少的,這個損失上限很高,fb之前斗內漏洞給 08/16 13:48
yyc1217: 有時候追求的不是金錢 而是我先發現 08/16 13:49
ruby080808: 1萬美,特斯拉1元換400萬汽車給4萬美 08/16 13:50
ruby080808: 樓上講的那個最近就有實例了,有個盜了價值6.1億美元 08/16 13:51
hw1: 我也覺得7500有點少 不過可能也是V社他們對自己bug的嚴重程度 08/16 13:51
hw1: 去決定賞金的 08/16 13:51
ruby080808: 的加密貨幣他全還,官方給50萬美元賞金他不要 08/16 13:51
s8018572: fb跟特斯拉的規模都不知道比valve大幾倍== valve公司沒 08/16 13:52
s8018572: 有上市 員工大概也才三百多人 08/16 13:52
angel0328: 不給的話下次找到的漏洞搞不好更嚴重 給了還能刷一波 08/16 13:53
i2285: 不能刪留言的好處就是可以看到有人一直跳針xD 08/16 13:56
linzero: 駭客對金額表示過意見嗎? 08/16 13:58
sars7125889: 醫生開刀一定都犯了傷害罪 阿原來有人說過了 08/16 14:02
ArcueidY: 台灣公司,你居然發現有漏洞,不管真的假的先把你告上法 08/16 14:03
ArcueidY: 院。 08/16 14:03
td789456123: 某樓邏輯太秀了吧,跳針之鬼 08/16 14:05
aa91300tw: 7500美XD 08/16 14:09
harry2014: 被密醫醫好之後告傷害 真賺 08/16 14:10
TheVerve: 7500超少吧 08/16 14:10
bhshin: 總是有不懂裝懂的拉不下臉 08/16 14:10
hooll111: 檯面上白帽 檯面下黑帽:) 08/16 14:11
holysea: 白帽子就是賺心安理得的賞金,不是所有人會去違法 08/16 14:14
gn02297273: 跳針笑死XD你乾脆說臥底警察也要照組織犯罪條例抓去關 08/16 14:20
gn02297273: 好了。 08/16 14:20
hijodedios36: 好了啦 笑死 08/16 14:20
alchemy123: 這麼大包的漏洞 7500美??? 08/16 14:21
enemyli: 就寫合作的賞金平台了還在耍什麼白癡 去讀書啦 08/16 14:23
pionlang5566: 覺得多一個零價位才差不多 08/16 14:24
pionlang5566: 這種漏洞很重要 但駭客找漏洞的工作不是天天有 08/16 14:25
pionlang5566: 價格太低是叫駭客沒工作時要吃自己? 08/16 14:26
g5637128: 上面都有人貼hackerone網址了,點進去看就不用吵了 08/16 14:30
g5637128: https://i.imgur.com/6FUFcqQ.png 08/16 14:30
圖https://i.imgur.com/6FUFcqQ.png?e=1667534010&s=l8Yi0WKKk5y0sDzhS3rV5g, 駭客找出Steam錢包無限資金漏洞,Valve緊急修復
g5637128: https://hackerone.com/reports/1295844 08/16 14:33
su4vu6: 還好他沒直接買那個 全遊戲整合包 08/16 14:37
soccer103: 攔截 request 修改儲存金額就行? 08/16 14:42
soccer103: 涉及金流後端還沒驗金額確認喔 08/16 14:42
soccer103: 這 bug 有點誇張 08/16 14:42

※ PTT留言評論
※ 發信站: 批踢踢實業坊(ptt.cc) ※ 轉錄者: g5637128 (1.161.98.125 臺灣), 08/16/2021 14:46:20

suichui08/16 14:56可以把所有遊戲+DLC全部包了,能課金的全部課爆

chaoliu08/16 15:11Riot果然是佛心公司所有獎金都20000起跳

cheeseup08/16 15:15沒想到還有如此貼近現實的show me the money

Sunerk08/16 15:16你沒說他黑的 都說犯罪了 ? 腦子不好使是吧

abraxas08/16 15:26發現不懂就閉上嘴,一直扯有夠難看= =

budaixi08/16 15:57好少。

cattgirl08/16 16:16發獎金不錯了 蘋果公司直接報警

cheeseup08/16 16:19轉過來的文章,推文已經有一堆狀況外的結果這邊還是有

pokiman08/16 16:33這麼大的漏洞給個十萬也是應該的

dxzy08/16 16:35七千五有點少了 還有樓主牛頭人

dxzy08/16 16:37那些狀況外的人是本來邏輯就不同常人 不要太意外

zxc233118908/16 16:42這麼嚴重的漏洞7500鎂喔 這隨便開個代購賺都超過吧

mothertime08/16 16:46白帽根本就是防盜工程師

lovinlover08/16 17:00想賺錢就不會當白帽了

qwe8801608/16 17:06稱不上太大漏洞吧,這種後續補救蠻簡單的,就通通鎖帳

qwe8801608/16 17:07實體商店的話才比較需要擔心這種事

MotoDawn08/16 17:17公道價就是7500啊 484很多人還是看不懂

israelii08/16 17:25白帽駭客跟各大資安公司都有在合作

israelii08/16 17:26已經算是一門高專業性的職業了 結果被鄉民講成這樣 笑

israelii08/16 17:26

fishxd109608/16 17:29給獎金就是對雙方都好的結果,金額夠多使駭客認為私下

fishxd109608/16 17:29利用漏洞不划算

DillMichel08/16 17:56公道價

aa147788808/16 18:08至少Valve肯給 之前Google說好要給還不給

jim859608/16 18:18想說推文怎麼那麼沒水準 原來是西洽轉來的

bu1708/16 18:19Show me the money G胖版

rangzhe08/16 18:317500鎂好少

r8527060708/16 18:45如果以 一成來說 7500美的比例是差不多了

dxzy08/16 18:587500當然不是知道行情 而是覺得自己如果這麼厲害希望能更多

dxzy08/16 18:59看到這篇最大的用途就是多整理了幾本牛頭人 就這樣

r8527060708/16 19:02主要討論點是 這並非對價關係啊

r8527060708/16 19:02我後來有在後面提到了 酬謝並非有實質對價

r8527060708/16 19:02未發生行為不能做為對價根據

r8527060708/16 19:03路邊撿到200萬 不能因為

r8527060708/16 19:03「你如果後謝要給我更多 連200萬都拿回來」

r8527060708/16 19:05我們並不知道兩造間是怎麼決定的

r8527060708/16 19:05太高 或是 太低 在沒有對價關係的前提下

r8527060708/16 19:05真的只是各人喊各人爽的

JustinPai08/16 19:09玩steam也開掛

g563712808/16 19:12牛頭人是什麼意思?

r8527060708/16 19:14拼音輸入 牛(N)頭(T)人(R) 等等警察就要來了

marc4708/16 20:08佛心公司,反觀

butten98608/16 20:31這漏洞當初要是賣到黑市,我看不只7500鎂

godfight08/16 20:32黑客 駭客

r8527060708/16 21:20vlave的損失≠你的漏洞獲利

shcjosh08/16 21:29懸賞漏洞明標價碼不是很正常嗎

r8527060708/16 22:30我是沒看這麼細啦 本回事情本身有懸賞價碼嗎

r8527060708/16 22:31我以為這個事件本身並沒有懸賞 所以說這不是對價關係

r8527060708/16 22:31但無論如何 別人的漏洞不是作為自己得利的應當

r8527060708/16 22:33就像銀行提款機故障不停吐鈔

r8527060708/16 22:33儘管問題不在於自己 但也不能因此主張這些多出來的吐

r8527060708/16 22:33鈔歸於自己

r8527060708/16 22:33程式漏洞造成的假資金也是一樣的

shcjosh08/16 22:34steam跟大部分的企業一樣漏洞是用cvss評分 每個等級的漏

r8527060708/16 22:35倒不如說 如果 我是說如果

r8527060708/16 22:35這名駭客告知valve「不更大讓利就轉賣」屬實

r8527060708/16 22:35則侵害責任是他要扛 怎麼說這鍋都太大了

shcjosh08/16 22:35洞有他的價格在

r8527060708/16 22:37喔 這個評分的話 7500美算高的了

r8527060708/16 22:38我記得hackerone有這個表格 9分級也有1500

r8527060708/16 22:39goohle倒是有獎勵金制度 只是不清楚詳細

ctes94000808/16 22:52前面推文...

guogu08/16 23:27我記得steam你幫他抓漏洞它價格都有分級標好了

guogu08/16 23:27什麼等級就給多少錢

xtimer08/16 23:5216樓羅輯就是 我家門沒關,誰來提醒一聲我們沒關就告死他

Kamikiri08/17 07:13上面推文網址不就有寫Steam懸賞最高只開到7500嗎?

Kamikiri08/17 07:17就是明定價碼了 外人看來應該給更多可能也沒辦法多給

Kamikiri08/17 07:17而且駭客應該也是接受這個價碼才去挖漏洞的

modelfucker08/17 09:57哇操太爽了吧

tsstho08/17 10:12用台灣的思維只會被當成罪犯,國外當成資安研究人員

tsstho08/17 10:137500美金解決這件事確實是便宜,不然他拿去賣給其他黑客

tsstho08/17 10:13組織用公司損失更大

tsstho08/17 10:14steam版 無限金錢XD

badend876908/17 10:36整天幫別人嫌獎金太少才真的笑死

dxzy08/17 10:56照你的邏輯漏洞別人找的、也已經補好 大家除了喔還能推啥

dxzy08/17 10:57還有請介紹一位整天嫌別人獎金太少的人推發文紀錄給我看看

dxzy08/17 10:57不然你也只是成天找東西擅自笑死走開的那種 (゚∀。

dxzy08/17 10:58在我們業界對於這種路上忽然笑出來的人都稱之為

cute10103708/17 13:44一堆人不懂裝懂,本案其實是比較像,你會給一個跟你

cute10103708/17 13:44說你家二樓洗澡間水沒關的人多少錢!或者跟妳說你老婆

cute10103708/17 13:44沒穿內褲?

cute10103708/17 13:45給的是小氣,但是很多人不給還會生氣.

cute10103708/17 13:45報官抓也很有可能

dxzy08/17 14:07扯更遠了 厲害厲害

dxzy08/17 14:14前面推文真的不想看 主要分三種人1.講錯不認繼續硬凹的jupto

dxzy08/17 14:14 2.吃瓜群眾只是想說7500合不合自己價值觀 3.各種價值觀錯亂

dxzy08/17 14:14的提出一些奇怪形容

dxzy08/17 14:152類居然能衍伸出其他話題 主要是大量3類在發威

dxzy08/17 14:16兩軍作戰 打一打發現變世界大戰 從拿槍的到拿掃把的大媽都來

dxzy08/17 14:17主要可怕的不是不知道行情 而是那些第一時間就想拿東西的價

dxzy08/17 14:21值爭論我要是XXX可以是多少 這種無限接近幻想的行為來爭論

r8527060708/17 15:11一如我前面所說 對方估計損失 ≠ 你該獲得的

jamesho874308/17 15:18都用hackerone 平台還犯罪 笑死 這不是自己私底下去

jamesho874308/17 15:18破的好嗎? 廠商-平台-白帽機制不懂?

jamesho874308/17 15:21抓到蟲要賣一定是可以賣的 還這麼大的蟲 賣黑市不難

jamesho874308/17 15:21 只是白帽不做這種犯罪行為

jamesho874308/17 15:24漏洞平台有一套機制 bug怎麼分級 什麼程度給多少錢

jamesho874308/17 15:24 是有一個公開的機制的

jamesho874308/17 15:35找到漏洞 自己可以不用賣資訊給別人就好 不容易被抓

jamesho874308/17 15:35 雖然說也算犯罪行為

jamesho874308/17 15:54重點 1.不是犯罪 2.給錢一定要給 3. 7500美公道價 4.

jamesho874308/17 15:54不想7500不當白帽可以賣黑市

pppli08/17 15:57純噓7500 無恥

jamesho874308/17 16:27有時候你就算發現了能影響全世界的bug也一樣是公道

jamesho874308/17 16:27價啦 要當好人就是這樣 不是說你救了人一命 那個人

jamesho874308/17 16:27的身家財產跟下半輩子都要交給你

dxzy08/17 16:50至少諾貝爾和平獎可能還會考慮你一下 qq

r8527060708/17 18:09要注意的是 未實際發生的損害估值 不等於實際產生價值

r8527060708/17 18:09看上去有人對估值隨自己喊 大方大別人的方?

r8527060708/17 18:11如同前面所說 覺得要更大方 那麼輪到自己

r8527060708/17 18:11在生死存亡之際被陌生人救援後 該把自己身家分出去嗎

r8527060708/17 18:11「沒有我你早升天了」

r8527060708/17 18:11大方不大方之前還是審慎考慮的

r8527060708/17 18:11不過我想這類只是隨便說說

jamesho874308/17 18:49企業跟白帽大家都是共利啦 看起來好像因為企業個體大

jamesho874308/17 18:49獲得的利益比較多 值不值得看個人

jamesho874308/17 20:54除了拿去賣就犯罪 但白帽還是有不講管你去死被壞人發

jamesho874308/17 20:54現的選擇 也有我就是讓其它人知道但我沒利用這個賺

jamesho874308/17 20:54錢的選擇 不一定要通報公司

r8527060708/18 03:02也不對啊 你沒通報怎麼能說是發現的

r8527060708/18 03:02那我也可以主張我其實也是白帽

r8527060708/18 03:02這個資金漏洞其實我也早早發現只是沒講 ?

jacky841224j08/19 01:00看到某樓就想到之前台灣修改車票的駭客,告訴統聯

jacky841224j08/19 01:00結果被告,有夠可憐

selvester08/20 12:19弱智企業會讓0day發現者白帽,不願意共同改進。最好

selvester08/20 12:19把exploit經過第三國洗完回原國黑市,屆時洗一圈法務

selvester08/20 12:19 和兩光外包系統商都不知如何是好

qq20408/21 01:30白癡才告白帽,是不是想搞死自己,不懂就閉嘴

qq20408/21 01:30以為全世界都跟台灣一樣智障?

Risha556608/21 13:03他是私下提醒耶 私下提醒還告就真的太白癡了QQ