Hackare hittade sätt att få oändligt med pengar i sin Steam-plånbok
Fint, tycker det är värt mycket mer än $7500 dock.
Dom tog väl den summan Gabe hade kontant i plånboken vid just det tillfället :).
Fint, tycker det är värt mycket mer än $7500 dock.
nej mera tycker jag inte, tycker det var en helt ok summa för finna en expmoit och rapportera den
Spela spel är kul ibland.
nej mera tycker jag inte, tycker det var en helt ok summa för finna en expmoit och rapportera den
Utan tvekan en struntsumma, du fattar väll att företag som Valve betalar 10-20x för att hitta problem som detta?
Och detta är ett problem som skulle kunna ha skapat nästan oändligt med problem för Valve om han inte hade anmält detta till Valve.
Fint, tycker det är värt mycket mer än $7500 dock.
Det är alltid en balansfråga vad man ska ha för belöning på en bug bounty. Det måste vara högt nog att det motiverar white hackers men det får inte vara så högt att företagets egna anställda känner att det bättre att sluta och sedan sitta och jaga buggar för bounty.
Tänk att vi diskuterar priset på att ha moral.
Blir lätt så när man börjar jämföra att X företag betalade ut Y summa tidigare, så varför betalar detta företag bara Z summa som är mycket lägre?
Tänk att vi diskuterar priset på att ha moral.
Moralen i det hela är ju att de inte utnyttjar buggen.
Men de ska såklart få betalt för sitt expertarbete.
Tänk att vi diskuterar priset på att ha moral.
Jo för han hade inte lagt ner lite tid på att hitta detta eller?
Jo för han hade inte lagt ner lite tid på att hitta detta eller?
Var han på uppdrag av Valve? Om inte så gjorde han det alltså frivilligt, därmed så har Valve ingen skyldighet att betala ut något om de så önskade, eller att de nöjer sig med $7500.
Och så som jag tolkar allt, så var han inte på uppdrag av Valve (dvs anställd/under kontrakt), därmed så finns det ingen "rätt" eller "fel" belöning.
Jag förstår inte varför någon alltid ska klaga över summan som betalas ut. 65k är inget att skratta åt precis. Det är praktiskt taget flera månadslöner.
Jo för han hade inte lagt ner lite tid på att hitta detta eller?
Tja, ingen har tvingat honom.
Jätteintressant information.
Utan tvekan en struntsumma, du fattar väll att företag som Valve betalar 10-20x för att hitta problem som detta?
Och detta är ett problem som skulle kunna ha skapat nästan oändligt med problem för Valve om han inte hade anmält detta till Valve.
Har du en källa på detta, eller någon hitt på summa, väldigt svårt se att dem betalar 10-20X mera, du menar alltså 75 000 dollar är vad dom brukar betala för hitta sånt hära?
Lägg ner
Spela spel är kul ibland.
Var han på uppdrag av Valve? Om inte så gjorde han det alltså frivilligt, därmed så har Valve ingen skyldighet att betala ut något om de så önskade, eller att de nöjer sig med $7500.
Och så som jag tolkar allt, så var han inte på uppdrag av Valve (dvs anställd/under kontrakt), därmed så finns det ingen "rätt" eller "fel" belöning.
Läste du artikeln? Valve har ett bug bounty program där de förklarar vad som är i scope och hur mycket man kan få betalt beroende på vad det är för bugg man hittat.
https://hackerone.com/valve?type=team
Och här kan man läsa hela kommunikationen mellan Valve och hackern: https://hackerone.com/reports/1295844
Jag förstår inte varför någon alltid ska klaga över summan som betalas ut. 65k är inget att skratta åt precis. Det är praktiskt taget flera månadslöner.
Tja, ingen har tvingat honom.
Handlar väl mer om att det inte är något fel med att diskutera summan.
För en säkerhetsspecialist, speciellt en väldigt erfaren en så är det inte ens en hel månadslön.
Dessa personer gör det för att det tycker om det, inte för att de försöker tjäna pengar, vilket de antagligen redan gör via sina jobb.
Jag vänder lite på det: Stora företag lockar tusentals personer att lägga ner timtal för att hitta fel i deras system, och bara en kommer få lite betalt.
Läste du artikeln? Valve har ett bug bounty program där de förklarar vad som är i scope och hur mycket man kan få betalt beroende på vad det är för bugg man hittat.
https://hackerone.com/valve?type=team
Och här kan man läsa hela kommunikationen mellan Valve och hackern: https://hackerone.com/reports/1295844
Jag läste nyheten. Läste du det jag skrev eller feltolka du det?
Ja, Valve har ett Bug Bounty program; men det är Valve som själva sätter summan samt de avgör vad de anser är rimligt (Critical, High Medium Low), vilket är vad jag menade. "Och så som jag tolkar allt, så var han inte på uppdrag av Valve" vilket han inte var, därmed så räknas inte pengarna han fick som lön (då lön räknas när du är på kontrakt/avtal med att hitta fel, i detta fall gjorde personen det frivilligt).
"därmed så finns det ingen "rätt" eller "fel" belöning." vilket stämmer då Valve själva kan säga om nivån de anser på buggen. De hade kunnat säga "Njae, det här ser vi bara som High" eller någon annan nivå.
Valve hade också kunnat ignorerat felanmälan och gjort fixar bakom kulisserna utan att ha notifierat personen, det har hänt förut. Det har även hänt att företagen inte lyssnat på White Hat Hackers när de har felanmält problem.
Handlar väl mer om att det inte är något fel med att diskutera summan.
För en säkerhetsspecialist, speciellt en väldigt erfaren en så är det inte ens en hel månadslön.
Dessa personer gör det för att det tycker om det, inte för att de försöker tjäna pengar, vilket de antagligen redan gör via sina jobb.
Jag vänder lite på det: Stora företag lockar tusentals personer att lägga ner timtal för att hitta fel i deras system, och bara en kommer få lite betalt.
Det är skillnad på att diskutera något och att bara gnälla över det.
Jätteintressant information.
Har du en källa på detta, eller någon hitt på summa, väldigt svårt se att dem betalar 10-20X mera, du menar alltså 75 000 dollar är vad dom brukar betala för hitta sånt hära?
Lägg ner
Av egen erfaranhet, vi anställde pentesters på projektbasis för 40 tusen Euro för att göra en kortare pen test som varade 3 veckor.
Och vi var ett företag som var en bråkdel av valve i storlek, vi hade ca 12 anställda vid den tidpunkten. Att anställa konsulter för 50-200k USD är inte så ovanligt.
För mindre pentest projekt så är oftast start priset runt 10k Euro och det är då det billigaste paketet.
Du kan lägga ner.
Tänk att vi diskuterar priset på att ha moral.
Fel synvinkel. Han hade moral eftersom han valde att rapportera detta istället för att sälja det some en 0day, vilket troligtvis skulle kostat betydligt mycket mer.
Men det finns oerhört få människor som befinner denna kunskap och att han ska få väl belöning för att ha hittat ett problem som ingen annan har hitta samt att han har lagt ner all tid på detta samt dokumenterat detta så att Valve har kunnat lösa detta helt av egen vilja är något som man förtjänar mer än enbart någon månadslön på.
Jag ser det som att det är omoraliskt att inte erbjuda korrekt vinst för någon som detta.
Av egen erfaranhet, vi anställde pentesters på projektbasis för 40 tusen Euro för att göra en kortare pen test som varade 3 veckor.
Och vi var ett företag som var en bråkdel av valve i storlek, vi hade ca 12 anställda vid den tidpunkten. Att anställa konsulter för 50-200k USD är inte så ovanligt.
För mindre pentest projekt så är oftast start priset runt 10k Euro och det är då det billigaste paketet.
Du kan lägga ner.
Fast nu jämför du Äpplen med Päron.
Med pentests så anställer du på kontraktsbasis, därmed avtalad "lön" för uppdraget som sträcker sig över en viss period/tid.
Bug Bounty är inte anställning eller kontraktsbundet, så klart att om de hittar ett fel på en halvtimma/timme inte ska ge en utdelning på 40 tusen euro...
Edit: 40.000 Euro är alltså 47.164 USD, om vi tar och delar det på 3 veckor (15 dagar) så är alltså det en dagslön på 3144 USD per dag.
Om denna Bug Bounty gjordes på 2 dagar eller mindre så tjänade han alltså mer än vad ni anställde pentesters för...
Av egen erfaranhet, vi anställde pentesters på projektbasis för 40 tusen Euro för att göra en kortare pen test som varade 3 veckor.
Och vi var ett företag som var en bråkdel av valve i storlek, vi hade ca 12 anställda vid den tidpunkten. Att anställa konsulter för 50-200k USD är inte så ovanligt.
För mindre pentest projekt så är oftast start priset runt 10k Euro och det är då det billigaste paketet.
Du kan lägga ner.
Tycker du svara på detta själv, så lägg mer killen i detta fall har gjort detta på egen vilja.
Spela spel är kul ibland.
Jag förstår inte varför någon alltid ska klaga över summan som betalas ut. 65k är inget att skratta åt precis. Det är praktiskt taget flera månadslöner.
Mja, beror väl på var man bor. I Sverige är det väl kanske ungefär en månadslön för en person med den typen av färdigheter, och i Rumänien är det kanske en årslön -- men i USA är det mindre än en månadslön. Om man ska anställa en extern pentester får man nog ofta punga ut såpass mycket för bara ett par dagar. Man måste ju ha i åtanke att de här personerna spenderar väldigt mycket tid med att leta efter sådana här säkerhetshål, och man hittar dem inte direkt varje dag om man inte är otroligt skicklig.
Av egen erfaranhet, vi anställde pentesters på projektbasis för 40 tusen Euro för att göra en kortare pen test som varade 3 veckor.
Och vi var ett företag som var en bråkdel av valve i storlek, vi hade ca 12 anställda vid den tidpunkten. Att anställa konsulter för 50-200k USD är inte så ovanligt.
För mindre pentest projekt så är oftast start priset runt 10k Euro och det är då det billigaste paketet.
Du kan lägga ner.
Det är skillnad på att vara anställd / inhyrd konsult mot att göra något på eget initiativ, helt frivilligt.
Jag tvivlar på att Valve saknar interna pentesters och helt förlitar sig på att White Hat Hackers ska göra jobbet åt dom.
Mja, beror väl på var man bor. I Sverige är det väl kanske ungefär en månadslön för en person med den typen av färdigheter, och i Rumänien är det kanske en årslön -- men i USA är det mindre än en månadslön. Om man ska anställa en extern pentester får man nog ofta punga ut såpass mycket för bara ett par dagar. Man måste ju ha i åtanke att de här personerna spenderar väldigt mycket tid med att leta efter sådana här säkerhetshål, och man hittar dem inte direkt varje dag om man inte är otroligt skicklig.
Jag tänkte mer på månadslöner efter skatt som vanligt folk har i snitt = vad jag tror att de flesta som sitter här och gnäller tjänar.
Jätteintressant information.
Utan tvekan en struntsumma, du fattar väll att företag som Valve betalar 10-20x för att hitta problem som detta?
Och detta är ett problem som skulle kunna ha skapat nästan oändligt med problem för Valve om han inte hade anmält detta till Valve.
Förstår absolut vad du menar med att dom betalar så väldigt mycket mer, för det e ju bara logiskt att Valve skulle ha anställda eller hyra in ett företag som gör sånt här hela tiden och dom betalar dom stor summor, det gör nog alla stora företag, så varför nån vill ha en källa på det förstår jag inte. För ologiskt att Valve bara skulle ha det programmet som sin datasäkerhet..
Men skillnaden på det programmet och dom anställda/säkerhets företagen som Valve betalar är ju att dom gör ju sitt jobb ständigt och letar och tar bort såna här grejer.
Han hittade 1st fel och sa till om det, så svårt att jämföra det med folk som är anställda för det som gör det hela tiden.
Är intelligent nog att förstå att göra en konsol till den objektiva vinnaren gör inte spelen bättre efter det.
1+1=2.. 8-3+2= 7.. 3-3x6+2= -13.
If two wrongs don't make a right, try three.
De kunde åtminstone erbjudit honom en anställning.
Fast tänk om de hade erbjudit honom jobb som rabattrensare?
Too real to be a dream, too painful to be a nightmare.