Valve patcht bug die ophogen Steam Wallet-saldo mogelijk maakte

Steam bevatte een bug waardoor het mogelijk was om het saldo van de Wallet kunstmatig te verhogen. Een beveiligingsonderzoeker ontdekte dat en meldde de fout bij Valve, waarvoor die 7500 dollar kreeg. Het is niet bekend of de fout misbruikt is.

Om te profiteren van de fout moesten gebruikers het e-mailadres dat aan hun account gekoppeld is wijzigen in een variant met de toevoeging 'amount100' en hun saldo ophogen via de Nederlandse betaalprovider Smart2Pay. Vervolgens moest de POST-request naar de Smart2Pay-api onderschept worden en daarin kon het bedrag aangepast worden. Zo kon een Steam-gebruiker 100 dollar toevoegen aan zijn Wallet, door slechts 1 dollar te betalen. De gebruiker moest wel zijn e-mailadres weer wijzigen in de originele vorm, voor de aangepaste request te versturen.

Beveiligingsonderzoeker DrBrix beschrijft de stappen op bugbountyplatform HackerOne. De details waren aanvankelijk alleen zichtbaar voor Valve en zijn in overeenstemming gepubliceerd nadat de fout is opgelost. Valve erkende dat de bug een 'bedrijfsrisico' vormde. Daardoor kreeg de onderzoeker een bedrag van 7500 dollar.

Onderzoeker DrBrix toonde met een eigen account en enkele transacties aan dat het ophogen van het Wallet-saldo werkte. Of de fout in de praktijk is misbruikt door meer Steam-gebruikers, is niet bekend. Valve zegt tegen securitywebsite The Daily Swig dat het de fout in samenwerking met de betaalprovider heeft opgelost.

Reacties (79)

Risce 16 augustus 2021 09:57

Ik vind 7500 euro weinig geld voor een bug die raakt aan het verdienmodel (en reputatie) van het platform zelf. Zeker aangezien Valve dit zelf 'severe' noemt.

Het is sympathiek dat de uitvoering hiervan openbaar gepubliceerd wordt, daar hebben andere bedrijven die op een zelfde manier werken met Smart2Pay ook weer wat aan.

Noxious @Risce • 16 augustus 2021 10:00

Als je kijkt naar de team-pagina van Valve dan zijn dat hun standaard bedragen waar ze voor gekozen hebben: https://hackerone.com/valve?type=team

Als je onderzoek doet naar iets als dit, dan weet je dus van te voren wat het je potentieel op gaat leveren als je iets vind.

Risce @Noxious • 16 augustus 2021 10:43

Dat is interessant! Wat zijn de best betalende bedrijven en klopt mijn statement dat dit relatief weinig geld is voor een 'severe' bug voor een platform?

CH4OS @Risce • 16 augustus 2021 10:52

Het is geheel wat een bedrijf ervoor over heeft natuurlijk en jij dat vervolgens die prijs waard vindt. Sommige bedrijven betalen meer, andere bedrijven betalen minder. Of het veel of weinig is, is natuurlijk ook afhankelijk van de moeite die de onderzoeker/hacker erin gestoken heeft om er achter te komen.

Als je het er niet mee eens bent, kun je altijd nog proberen het lek / de hack proberen te verkopen aan derden voor een hoger bedrag natuurlijk en uiteindelijk alsnog melden bij de juiste partij.

[Reactie gewijzigd door CH4OS op 28 juli 2024 09:41]

Risce @CH4OS • 16 augustus 2021 14:20

Nee, dat kun je best baseren op economische schade (75 gebruikers = 100%), dat is niet een volkomen uit de lucht gegrepen bedrag, noch is het irrelevant wat andere bedrijven in dezelfde situatie betalen.

CH4OS @Risce • 16 augustus 2021 14:28

Nee, want je weet niet hoeveel schade Valve/Steam er onder geleden heeft, waar haal je die 75 gebruikers vandaan, bijvoorbeeld? Of is dat enkel voor het voorbeeld? Als dat het geval is, maak je jouw conclusie gebaseerd op een aanname, dat zou ik in dit soort zaken niet doen.

Als het niet relevant is wat andere bedrijven betalen, is het dus ook niet te zeggen of wat Valve/Steam betaald voor vergoeding evenredig is.

[Reactie gewijzigd door CH4OS op 28 juli 2024 09:41]

Risce @CH4OS • 16 augustus 2021 20:23

Het is geheel wat een bedrijf ervoor over heeft natuurlijk en jij dat vervolgens die prijs waard vindt.

In het voorbeeld gaat het om een verandering van 1 naar 100 euro. Dus:

kun je best baseren op economische schade (75 gebruikers = 100%)

Dan schat ik in dat als dit lekt je meer dan 75 gebruikers hebt die deze exploit gaan gebruiken, dus dan is het bedrag laag.

En dit heb je verkeerd gelezen:

Als het niet relevant is wat andere bedrijven betalen, is het dus ook niet te zeggen of wat Valve/Steam betaald voor vergoeding evenredig is.

Ik zei:

noch is het irrelevant wat andere bedrijven in dezelfde situatie betalen

[Reactie gewijzigd door Risce op 28 juli 2024 09:41]

CH4OS @Risce • 16 augustus 2021 20:58

Dan schat ik in dat als dit lekt je meer dan 75 gebruikers hebt die deze exploit gaan gebruiken, dus dan is het bedrag laag.

Dan ga je uit van 'wat had kunnen zijn' en dat is wat ik bedoel met de potentie. Maar daar wordt niet naar gekeken om te belonen, dat zou best onlogisch zijn. Voor ons als buitenstaander misschien logisch, Iemand die tweede wordt in een wedstrijd wordt ook niet beloond als de winnaar, omdat diegene 'de potentie had' om de race te winnen, niet waar?

Ik zei

Hoe is 'niet relevant' anders dan 'irrelevant'?

Risce @CH4OS • 17 augustus 2021 08:51

Je leest maar half. Ik zeg dus dat het wel relevant is (het is niet irrelevant, noch irrelevant), daar wees ik je op en dan nog lees je het maar half. Dan heeft een discussie verder ook geen zin.

En je vergelijking is helemaal kul, uiteraard gaat het bij elke schade assesment om de potentiële impact en aangezien het hier om een monetaire vergoeding gaat, kijk je dus naar de potentiële kosten.

CH4OS @Risce • 17 augustus 2021 09:25

Je leest maar half. Ik zeg dus dat het wel relevant is (het is niet irrelevant, noch irrelevant), daar wees ik je op en dan nog lees je het maar half. Dan heeft een discussie verder ook geen zin.

Als het dus wel relevant is, waarom dat dan zeggen met een dubbele ontkenning?

Maar goed, het is duidelijk nu. Wat een ander bedrijf betaald doet er niet heel veel toe; andere bedrijven kunnen misschien meer of minder betalen, is maar net wat een bedrijf ervoor over heeft en hoe men de issues classificeert. Ook bij (schade)verzekeringen wordt er niet gekeken wat een andere verzekeraar uitbetaald bij schade. Ook daar wordt gekeken wat de daadwerkelijk opgelopen schade is (en krijg je daarvan meestal een gedeelte vergoed), niet wat de potentiële schade is. Zouden verzekeraars dat wel doen, was de premie een aantal factoren hoger dan dat nu het geval is. Bij elk auto ongeluk is de potentie dat iemand helaas komt te overlijden, dan ook maar vergoeden alsof diegene overleden is? Beetje overdreven, niet?

Bottomline:
Valve vindt (publiekelijk) 7500 een goede vergoeding, de onderzoeker/hacker vond dat ook, vandaar dat hij de bug gemeld had en de beloning in ontvangst genomen heeft. Dan kunnen wij vinden wat wij ervan vinden (een te hoge of te lage vergoeding), maar de twee partijen die er echt toe doen in deze zijn het erover eens en akkoord. Schijnbaar zit de vergoeding dan wel snor, anders zou je niet instemmen natuurlijk.

En nogmaals, omdat de potentie van een grote schade post er was geweest, betekend niet direct dat je iemand dan rijkelijk moet belonen daarvoor; voor niet geleden schade kun je ook geen schadevergoeding vragen bijvoorbeeld en de normale inkomsten van Steam/Valve zijn daar ook niet anders door geworden.

Het zal mij dus niet verbazen als Steam meer betaald heeft aan de onderzoeker/hacker dan dat het hen daadwerkelijk gekost heeft aan schade.

[Reactie gewijzigd door CH4OS op 28 juli 2024 09:41]

Basxt @CH4OS • 16 augustus 2021 12:57

Hmm, maar steam geeft toch pas de bug bounty als het gefixt is? Dus dan heeft verkopen weinig zin.

CH4OS @Basxt • 16 augustus 2021 14:09

Ja, maar die weet/ziet dan toch niet wanneer ik het lek eerst verkoop op de zwarte markt en later pas Valve/Steam erover inlicht om de bug te fixen?

Basxt @CH4OS • 16 augustus 2021 14:12

Valve kan toch nagaan of er misbruik van is gemaakt? Lijkt mij als iemand zulke info koopt je daar gelijk gebruik van maakt.

Maar idd, voor valve is niet te weten of jij die info verschafte of hebt verkocht..

[Reactie gewijzigd door Basxt op 28 juli 2024 09:41]

berchtold @CH4OS • 16 augustus 2021 12:10

Of alleen een t-shirt (overheid)

_Thanatos_ @Risce • 16 augustus 2021 10:01

Het is toch een leuk maandsalaris. Wat is volgens jou dan wél een redelijke beloning, en waarom?

Martin.Air @_Thanatos_ • 16 augustus 2021 10:08

Voor het toevallig vinden van een probleem is dit inderdaad een mooi bedrag, echter is het een laag bedrag als het gaat om actieve onderzoekers. Persoonlijk zou ik zeggen dat een bedrag van +/- 15.000 beter op zijn plaats zou zijn.
Het zoeken van kwetsbaarheden kan zeer veel tijd in beslag nemen, en dat zou ook moeten, omdat het tenslotte ook moeilijk moet zijn voor kwaadwillenden. Zo kun je meer dan een week bezig zijn om dingen uit te proberen met de conclusie dat het veilig is, voor die conclusie krijg je dus niks. Pas zodra er wat gevonden wordt is er een betaling mogelijk. Een ZZPer, waar we het hier over hebben, zou al rond de 5000 per maand moeten zitten om een beetje normaal te verdienen met de extra onkosten die bij het ZZPer zijn er aan vast hangen. Dan zou je dus in 3 maanden werken 1 grote bug vinden om normaal betaald te worden.
Dat zou ik als redelijk zien.

_Thanatos_ @Martin.Air • 16 augustus 2021 14:02

Als je het jezelf aanmeet om bugs in softeare van anderen te vinden als fulltime job, dan neem je daarmee ook het risico om "slechts" 5K als beloning te krijgen. Echter ik denk niet dat iemand hier een volle maand fulltime aan gewerkt heeft, maar het in vrije tijd heeft gedaan, of iig nog een job ernaast heeft met een betrouwbaar inkomen.

Dat plus het feit dat gemaakte uren nou eenmaal niet altijd betaald hoeven te worden - kijk es hoeveel mensen aan OSS werken. Dat je besluit om bugs in Steam op te sporen, is geheel een eigen keuze. Als ik een bug in Windows vindt en die meldt en er geen rooie cent voor krijg, dan ga ik toch ook niet klagen?

Draai het anders eens om: jij hebt een bedrijf en een random dude (of dudette) klopt aan met een bugmelding. Wat heeft jouw bedrijf dan als verantwoordelijkheid richting die persoon als tegenpresentatie? Antwoord: helemaal niets. Een bedankje. Waarom zou dat bedrijf zijn of haar gemaakte uren moeten vergoeden, terwijl er helemaal niet gevraagd is om die bug op te sporen?

Ik zeg niet dat het de kant op moet van Adobe, die iedere bugmelding gewoon volledig negeert én niet fixt, en ik zeg - voor alle duidelijkheid - ook niet dat een bugmelding onbeloond moet blijven. Ik zeg alleen dat het aan de coulance van het bedrijf is om te bepalen wat een goeie beloning is, if any.

Dus heel leuk, dat je je verklaring voor die 15K *volledig* in het perspectief van een ZZP'er zet, maar dat is éénzijdig, en zit vol met aannames.

Martin.Air @_Thanatos_ • 16 augustus 2021 14:43

Dit is ook niet de overtuiging dat dit persoon meer had moeten krijgen, echter dat met een hogere vergoeding wellicht meer mensen op zoek zouden gaan naar bugs.
Dan gebaseerd om mijn ervaring van het hit/miss ratio bij dit soort bugs zoeken een schatting gemaakt op het vinden van een grote bug 1 per 3 maanden een bedrag ingeschat. Een bughunt programma is er niet voor niks, deze is er omdat Valve hoopt dat er mensen bugs gaan zoeken zodat dingen die hun eigen medewerkers over het hoofd hebben gezien niet uitgebuit worden.

CH4OS @Martin.Air • 16 augustus 2021 12:29

Het zoeken van kwetsbaarheden kan zeer veel tijd in beslag nemen, en dat zou ook moeten, omdat het tenslotte ook moeilijk moet zijn voor kwaadwillenden. Zo kun je meer dan een week bezig zijn om dingen uit te proberen met de conclusie dat het veilig is, voor die conclusie krijg je dus niks. Pas zodra er wat gevonden wordt is er een betaling mogelijk. Een ZZPer, waar we het hier over hebben, zou al rond de 5000 per maand moeten zitten om een beetje normaal te verdienen met de extra onkosten die bij het ZZPer zijn er aan vast hangen. Dan zou je dus in 3 maanden werken 1 grote bug vinden om normaal betaald te worden.
Dat zou ik als redelijk zien.

Maar we weten niet hoeveel moeite de onderzoeker/hacker heeft gehad hiervoor (en dus ook geen notie van tijd), dus is het ook erg voorbarig om te zeggen wat een juiste vergoeding is. Als dit iets is wat (bij wijze van) in vijf minuten tijd gevonden was, was het dan nog wel die 15.000 die jij noemt waard geweest? Als iemand 2 weken bezig zou zijn geweest en de bug heeft gevonden, zit je met een vergoeding van 7500 alsnog op 3750 per week. Zo'n bedrag wil ik ook wel per week verdienen! Met jouw 15.000 is dat dus alleen maar verdubbeld...

Vergis je niet, dit gat heeft geen effect op het geld wat daadwerkelijk in het laatje komt bij Valve (via Steam). Om er misbruik van te maken is er best wat nodig en heeft het enkel uiteindelijk alleen effect gehad op de omzet van Valve. Natuurlijk, het levert Valve wel iets op (een potentieel gat dat niet meer te misbruiken is, waardoor er geen kosten meer gemaakt worden), maar zolang het gat niet al teveel actief misbruikt is, loopt Valve/Steam ook niet zoveel geld mis. Onderaan de streep verliest of wint Valve er dus ook niet heel veel mee. Voor de inkomsten zelf is er dus nauwelijks verschil, dus veel pijn doet/deed het Valve/Steam ook niet.

En ja, in potentie had dit Valve/Steam veel geld kunnen kosten, mits het gat veelvuldig en zeer actief misbruikt werd, maar gezien hetgeen je er allemaal voor moest doen, lijkt mij dat zeer onwaarschijnlijk.

[Reactie gewijzigd door CH4OS op 28 juli 2024 09:41]

GewoonWatSpulle @Martin.Air • 16 augustus 2021 11:10

Wat voor onkosten maakt een ZZP'er (pentester/security consultant) dan dat € 5000,- een beetje normaal is?

JBVisual @GewoonWatSpulle • 16 augustus 2021 11:22

Arbeid ongeschiktheidverzekering, aansprakelijkheidsverzekering,Verplichte premies, een boekhouder/accountant, pensioenopbouw.

En in sommige gevallen huren ze ergens ook een kantoortje (in een verzamelpand) waar dan ook weer allerlei kosten mee gemoeid zijn.

Je zit al snel tussen de €500 en €2000 aan vaste lasten afhankelijk van je benodigdheden.

Verwijderd @JBVisual • 16 augustus 2021 12:10

Plus ook het onregelmatige inkomen bij Bugbounty waardoor veel mensen uit westerse landen afhaken omdat alles wordt leeg "gefarmed" door lage loonlanden. Voordat mensen gaan roepen dat het een teken is dat je dan maar beter moet worden in je skills, de waarde van het rapport tussen iemand die wat moeite erin steekt en iemand met gebrekkig Engels die wat output kopieert uit een cracked tool of opensource tootlje zonder uitleg, is enorm. Je kan vaak de reputatie score zien van onderzoekers op Hackerone, en dan zie je bij dat 2de geval vaak een berg aan "duplicates" en "rejects" omdat ze maar alles binnen rammen wat ze in hun tooltje voorbij zien komen zonder nadenken en wat uitleg.

Met 1000 euro kan je hier je huur en eten betalen voor een maand. In India ook, maar dan voor het hele dorp.

sprankel @GewoonWatSpulle • 16 augustus 2021 11:26

Een werknemer met instaploon kost je als werkgever rond de 6000 euro per maand, er is een groot verschil tussen de totaalkost vs wat jij op je bankrekening ziet.

Als ZZP kan dat wat goedkoper maar met 5k per maand ga je niet bepaald rijk worden. Je vergeet fiscale lasten, allerhande gewone verzekeringen, pensioenen, vakantiepot, gewone belastingen, bijkomende belastingen die je als werknemer niet kent.

Dan moet je nog risico's afdekken gaande van inkomstenverlies (bijvoorbeeld door ziekte), klanten die niet betalen (maar de factuur bestaat dus je betaald er wel belastingen op) tot 3de partijen die je juridisch aanklagen. Kan je natuurlijk wat proberen afdekken met goede contracten (maar dan heb je weer juridische bijstand nodig om die op te maken) of met bijkomende verzekeringen.

En dan ben ik nog altijd aan het rekenen dat je vanuit je living/garage werkt want een kantoor huren met een omzetcijfer van 5k per maand, dat kan je vergeten.

JBVisual @sprankel • 16 augustus 2021 13:17

Klopt helemaal zoals je het zegt, een brutoloon moet je al snel keer 2,2 tot 3,5 doen om de totale kosten te berekenen.

(Afhankelijk van de branche, secondaire arbeidsvoorwaarden etc…)

Goldenflame @GewoonWatSpulle • 16 augustus 2021 11:30

Woon en leef kosten, pensioenverzekering, zakelijke rechtsbijstand, arbeidsongeschiktheidsverzekering.
Als ZZPer geniet je niet van de verzekeringen en voordelen die een bedrijf "normaal" wel voor de werknemers afsluit of moet betalen.

Risce @_Thanatos_ • 16 augustus 2021 10:45

Ik vind 7500 euro weinig omdat je kunt afleiden uit de omschrijving dat als 75 mensen deze bug gebruiken, ze meer geld verliezen (puur, los van PR schade en mogelijke outfall) dan ze nu uitkeren. Ik begrijp van Noxious dat er dus standaard bedragen zijn bij HackerOne die een bedrijf vaststelt (en afgelopen halfjaar keerde Valve dus bijna een ton uit), maar ik zou toch kijken naar de potentiële impact en die lijkt mij puur financieel alleen al flink hoger dan 7500 euro.

CH4OS @Risce • 16 augustus 2021 12:46

Aan de andere kant; het gat heeft geen impact op de inkomsten van Valve/Steam, enkel op de uitgaven van Valve/Steam en daarmee dus de omzet, omdat er immers iets meer kosten zijn. Zolang het gat niet actief en veelvuldig misbruikt is, kost het Valve/Steam dus ook weinig. In potentie is er inderdaad een boel schade voorkomen, maar om iemand te gaan belonen omdat in potentie de schade groot had kunnen zijn, is ook wat overdreven; dat doet ook bijna niemand rijkelijk belonen.

Dat het gat nu gedicht is, betekend alleen dat, niets meer, niets minder. Valve/Steam heeft er geen hogere kosten door en de inkomsten gaan toch wel door (en liep Valve/Steam ook niet mis), de schade zal dus meevallen. Als dit vervolgens ook redelijk gemakkelijk gevonden was en bijvoorbeeld de onderzoeker/hacker dit twee weken tijd gekost heeft (laten we dus zeggen 80 uur), heeft hij 3750 per week verdiend. Zo'n salaris zou ik ook wel willen, kan ik je vertellen. Maar we hebben geen idee hoeveel moeite en tijd het gekost heeft, dus dat blijft gissen.

[Reactie gewijzigd door CH4OS op 28 juli 2024 09:41]

_Thanatos_ @CH4OS • 16 augustus 2021 14:10

Al heeft het hem/haar een heel jaar gekost. Je moet een gegeven paard niet in de bek kijken, want het is een *gegeven* paard. De hacker heeft vziw volledig vrijwillig de taak op zich genomen om deze bug op te sporen, en dat verdient een *beloning* (naar de coulance van Valve) maar geen *salaris*.

[Reactie gewijzigd door _Thanatos_ op 28 juli 2024 09:41]

CH4OS @_Thanatos_ • 16 augustus 2021 14:20

Laat ik het zo zeggen, ik denk dat de onderzoeker/hacker meer gekregen heeft dan dat Valve/Steam geleden heeft onder dit lek.

Carharttguy @_Thanatos_ • 16 augustus 2021 10:10

7500 een leuk maandsalaris? Voor de meeste mensen is dit makkelijk het salaris voor 4 maanden.

De hacker beslist natuurlijk ook zelf of hij dat bedrag de moeite vindt. De bedragen zijn publiek.

Cergorach

Networking en security

@Carharttguy • 16 augustus 2021 11:04

7500 een leuk maandsalaris? Voor de meeste mensen is dit makkelijk het salaris voor 4 maanden.

Voor een ZZPer met dergelijk IT kennis en kunde is dat zelfs aan de erg lage kant ($7500 = ~€6375) voor een maandomzet. Dat is iets meer dan twee keer het modaal bruto maandsalaris. Met als grote verschil dat een ZZPer een heleboel extra kosten heeft die de baas betaald als je in vaste dienst bent.

Als iemand 80-120 uur besteed aan het vinden van zo een bug, dan is dat heel netjes. Ik vermoed echter dat je als beveiligingsonderzoeker nooit van te voren weet wanneer en of je een bug vind en hoeveel tijd je daar aan kwijt bent. Daarnaast hoeft dit natuurlijk niet de enige 'winst' te zijn uit zo een onderzoek, het kan de basis vormen voor andere onderzoeken die ook dergelijke 'winsten' opleveren en het staat natuurlijk niet slecht op je CV als je een gesolliciteerd bij een opdrachtgever die je een heel aardig uurtarief betaald om datzelfde te doen voor hun bedrijf.

_Thanatos_ @Cergorach • 16 augustus 2021 14:07

Groot verschil is natuurlijk dat Valve deze hacker niet in dienst had, dus ze hadden ook geen ene rooie cent kunnen geven. Je doet nu net alsof de hacker recht had op dit geld. Het was vziw een volledig vrijwillig opgespoorde bug.

Cergorach

Networking en security

@_Thanatos_ • 16 augustus 2021 14:37

Je doet nu net alsof de hacker recht had op dit geld.

Dat had de onderzoeker toch, Valve heeft zelf van te voren aangegeven wat het vinden van een dergelijke bug zou opleveren. Wellicht zouden ze er voor kunnen kiezen om dat niet te doen, maar vervolgens zal er nooit meer voor Valve bug hunters willen 'werken'. Dit is effectief een beloning stellen voor iets ongeacht hoeveel tijd je er aan kwijt bent, dat is niet iets wat de meeste freelancers graag zien, tenzij ze er zeker van zijn dat ze het meer oplevert dan de tijd die ze er aan besteden. Voor Valve is dit een zeer goedkope oplossing, een hoop Enterprise organisaties kunnen zich echter niet zo passief opstellen en huren security onderzoekers juist in (tegen hoge tarieven) om dergelijke bugs op te zoeken zonder het publiekelijk aan de 'schandpaal' te hangen. Dan is een CV waarop je kan aantonen dat je dergelijke bugs voor grote andere partijen al heb opgespoord zonder dat er een NDA aan hangt (wat bij veel opdrachten wel gewoon het geval is: Net spreken over de de zaken van de klant).

4bit @Carharttguy • 16 augustus 2021 10:45

Hier op moet je ook gewoon belastingen betalen, dus uiteindelijk zal het de helft netto zijn.

Waah @4bit • 16 augustus 2021 12:39

Er zijn maar heel weinig mensen waarbij belasting daadwerkelijk de helft van hun geld opsnoept

vanaf €68.508 is het namelijk 49.5%. En wat veel mensen altijd voor het gemak (om te kunnen zaniken) vergeten: Pas vanaf dát bedrag is het 49.5%. Al het geld tot 68.508 is belast via schijf 1 (37,10%)

Als je dus 68.509 euro krijgt betaal je over:
37,1% over €68.508,-
49,5% over €1,-

Maarja, roepen: "Netto is het de helft" is natuurlijk veel leuker.

[Reactie gewijzigd door Waah op 28 juli 2024 09:41]

hackerhater @Waah • 16 augustus 2021 13:21

Nee, maar de belastingen + aangeraden verzekeringen + boekhouder + buffer + andere kosten (zoals je PC) komt heel dicht in de buurt van die 50%

Waah @hackerhater • 16 augustus 2021 14:00

Eens, maar daar hadden we het niet over

Het ging over belasting.... Het blijft wel Tweakers hè

[Reactie gewijzigd door Waah op 28 juli 2024 09:41]

_Thanatos_ @hackerhater • 16 augustus 2021 14:05

Granted, als je al ZZP'er bent, dan heb je die kosten al van je normale job betaald. Dus inkomsten uit deze beloning zijn puur extra (minus de belasting natuurlijk).

Cergorach

Networking en security

@hackerhater • 16 augustus 2021 14:47

Nee, maar de belastingen + aangeraden verzekeringen + boekhouder + buffer + andere kosten (zoals je PC) komt heel dicht in de buurt van die 50%

Eh... Veel van die items zijn juist kostenposten die je mag aftrekken voordat je die 49,5% moet afstaan. Waardoor je inkomen wel minder wordt, maar je juist minder belasting betaald... Daarnaast ligt het er ook heel erg aan hoeveel je verdient/krijgt en hoeveel je uitgeeft (auto van de zaak bv.). Daarnaast, als je maar genoeg verdient/krijgt wordt vanzelf een BV interessant, waardoor het helemaal een complex verhaal wordt, je inkomen lager wordt, maar je weer inkomsten krijgt via dividenten... Vergeet ook niet zaken als kleine investerings aftrek, winst aftrek, etc.

Mijn ervaring is dat je als ZZPer altijd beter uit bent dan in vaste dienst en de illusie dat je dan meer vastheid heb is ook enkel maar een illusie. Echter zal je een heleboel meer zelf moeten doen of andere betalen omdat voor je te doen. Daarnaast zal je ook veel actiever moeten handelen dan als je ergens in dienst bent, zeker niet voor iedereen....

hackerhater @Cergorach • 16 augustus 2021 15:13

Zeker, maar het gaat zeker op voor de uitdrukking dat je van de bruto-inkomsten grofweg de helft overhoud.

Je hebt gelijk dat het nog voor de belasting (over de winst) zit, maar het zijn nog altijd kosten die van je bruto-inkomsten af gaan.
But still, 50% van 10K bruto is nog altijd 5K netto om uit te geven

[Reactie gewijzigd door hackerhater op 28 juli 2024 09:41]

4bit @Waah • 16 augustus 2021 13:24

Omdat jij het bent:
Hier op moet je ook gewoon belastingen betalen, dus uiteindelijk zal het 63% zijn van dit bedrag.

eL_Jay

Steam

@Carharttguy • 16 augustus 2021 10:14

Voor zzp'er in de ICT is dat een redelijke maand omzet. (In 2017)

Marve79 @eL_Jay • 16 augustus 2021 10:19

Dat is $45 per uur, dan zit je als ZZP-er wel onderin hoor. En dan moet je nog omrekenen naar euro's. En er gaat nog belasting af.

Amanoo @eL_Jay • 16 augustus 2021 10:27

Maar lang niet iedereen is in staat om zomaar als ZZP'er door te gaan. Dat moet je nog wel kunnen. Lang niet voor iedereen weggelegd.

Als loonslaaf verdien je heel wat minder. Als starter in de techniek op HBO niveau is 1800-2400 bruto redelijk normaal. Al snap ik niet hoe mensen met 1800 geboegen nemen. Dat is 100 euro boven minimumloon. Dan kan je bijna net zo goed burgerflipper worden. Niet zo gek dat er te weinig technici zijn. Volgens mij snappen veel werkgevers niet hoe marktwerking werkt.

mjz2cool @Carharttguy • 16 augustus 2021 13:06

Voor een zzp-er is het een laag bedrag. Vergeet niet dat ze naast de normale kosten voor een woning en dergelijke, ook kosten hebben voor het runnen van hun bedrijf.

_Thanatos_ @Carharttguy • 16 augustus 2021 14:03

Voor de meeste mensen is dit makkelijk het salaris voor 4 maanden.

Dan zijn we het toch met elkaar eens dat het een leuk maandsalaris is

87Dave @Risce • 16 augustus 2021 11:15

Het is wat cliché, maar in dit geval is een deel van de beloning exposure omdat Valve erkent dat deze onderzoeker een belangrijke security bug ontdekt heeft. Als die ooit werk moet vinden in ICT security, staat dit heel goed op zijn cv, het is de beste soort referentie dat hij kan krijgen.

Het.Draakje @Risce • 16 augustus 2021 10:03

Valve heeft geen belang bij het oplossen van problemen bij concurrenten. Als die door een bug in hun software failliet gaan, des te beter voor Valve.

SeenD @Risce • 16 augustus 2021 10:07

Misschien had de onderzoeker zichzelf al een paar ton gegeven.

OriginalFlyingdutchman @Risce • 16 augustus 2021 10:03

Dat weet je als onderzoeker van tevoren. Ik ken de onderzoeker trouwens niet persoonlijk, maar zie het zo. Ik zit de hele avond te gamen, na mijn werk, en die onderzoeker is naast zijn werk 's avonds niet aan het gamen maar op zoek naar dit soort dingen. Gamen kost me geld, bugs vinden levert hem geld op. En waarschijnlijk vind hij het net zo leuk of leuker, dan ik gamen

. Mooi extraatje dan.

Christoxz @Gropah • 16 augustus 2021 11:06

Dan hoef ik niet veel voor mij huwelijkfoto's te betalen. De tuinier werkt toch graag in de tuin?

Als de fotograaf of tuinier weet dat hij x bedrag kan verdienen, kan hij achteraf natuurlijk niet klagen dat hij te weinig heeft verdiend.

Zo is het net bij deze bounties, hij wist dat hij maar maximaal 7500 dollar kon verdienen.
Als hij meer had willen verdienen, had hij zijn 'onderzoekstijd' in een ander bedrijf kunnen stoppen, waar hij meer had kunnen verdienen.

Ivolve

16 augustus 2021 09:56

Ik vraag me toch echt af hoe mensen dit soort dingen ontdekken. Er is hier vast wel iemand die het me kan vertellen

Byron010 @Ivolve • 16 augustus 2021 10:00

Het makkelijkste antwoord: Nieuwsgierigheid

Vaak is het nieuwsgierigheid naar de technologie en puur om te kijken of je iets verder kan pushen dan normaal verwacht. Als je dan 1 touwtje kan vinden, dan blijf je aan dat touw trekken en allerlei dingen proberen

[Reactie gewijzigd door Byron010 op 28 juli 2024 09:41]

Zer0 @Byron010 • 16 augustus 2021 10:04

Nieuwsgierigheid is het waarom, niet het hoe....
Ik verbaas me regelmatig over de creativiet van dit soort exploits, en vraag me ook af hoe men er op komt.

Mavamaarten @Zer0 • 16 augustus 2021 10:17

Er zijn nu eenmaal maar een aantal manieren waarop er communicatie verloopt tussen de Steam webpagina en zo'n betaalsysteem. Dat gebeurt meestal via een of andere web request naar een URL met oftewel een body of via query parameters. Als je op zoek bent naar een zwakte hierin dan onderschep je alle netwerkverkeer en doet een legit transactie, en daarin ga je op zoek naar interessante dingen. Het interessantste is natuurlijk het bedrag, als je die ergens in een query parameter tegenkomt ga je natuurlijk gewoon proberen of je dat bedrag niet kan aanpassen. Waarschijnlijk krijg je dan een foutmelding, en ga je op zoek naar manieren om die validatie te omzeilen. In dit geval lijkt het erop dat het aanpassen van je emailadres genoeg was.

Dit soort problemen is overigens niet nieuw, ik herinner me dat ik ooit een webshop zag die praktisch alles client-side afhandelde waardoor je net zoals hier gewoon 0,01 kon betalen voor een CD key van games.

henkpoll @Mavamaarten • 16 augustus 2021 14:34

Doet me denken aan deze klassieker:
nieuws: Gratis winkelen was eenvoudig bij webshop CDA

Ivolve

@Mavamaarten • 16 augustus 2021 12:42

Helder antwoord, bedankt!

dakka @Zer0 • 16 augustus 2021 10:33

Tig duizend manieren.

Ik ben totaal geen hacker maar wel een developer, mijn gedachtengang om hier bij te komen zou zijn "hmm ik vraag me af wat er allemaal heen en terug gestuurd wordt bij het afrekenen en of ik daar wat interessants kan zien"

Dat is ook gewoon een stukje ervaring dat veel data heen een weer gestuurd wordt met query requests o.i.d.

AibohphobiA BoB

@Byron010 • 16 augustus 2021 10:10

Het is ook al een heel oud 'probleem'. Vroeger kwam dit nogal eens voor bij slecht gebouwde websites met iDeal.
Het is echt een beginnersfout en door elke keer gewoon te proberen of het kan lukt het soms. Nieuwsgierigheid zou ik het nit willen noemen, het is meer kijken of er weer een beginner aan de gang is geweest. Als ik een site moet controleren is dit het ongeveer het eerste waar ik naar kijk.

Groentjuh @Ivolve • 16 augustus 2021 10:10

Kijken naar de requests die gedaan worden door de browser. Soms zie je dan wel eens ineens iets voorbij komen, wat interesse trekt. In dit geval was mogelijk het bedrag waarmee opgehoogd was onderdeel van de callback-request.

Soms blijkt die interesse correct en kun je met het wijzigen van een waarde hele leuke dingen doen, zoals 1 dollar betalen en 100 dollar krijgen of iemands anders zijn bestelling inzien.

Vaak wordt wel alles netjes afgehandeld en dan is dat iets helemaal niet interessant.

lenwar

@Ivolve • 16 augustus 2021 10:16

Dit is typisch iets wat je uit wilt proberen. (Geld toevoegen aan je account).

Dus dan ga je met een sniffer/browser kijken hoe het verkeer er uit ziet om geld toe te voegen. (Je volgt dus het reguliere proces) en gaat kijken of je dit op een bepaalde manier kan manipuleren of nabootsen.

Ik probeer niet te zeggen dat het een simpel proces is, maar als ik de kunde zou hebben, zou ik het op bovenstaande generieke manier proberen.

Luuk2015 16 augustus 2021 10:05

Hoe zit het eigenlijk met belastingen als je dit soort bug bounties in NL ontvangt?
Hoeveel houd je netto dan nog over?

SinergyX @Luuk2015 • 16 augustus 2021 10:12

Afhankelijk welke schaal je al zit, ergste geval, de helft

Schway @SinergyX • 16 augustus 2021 10:53

En dus al een hoog jaar inkomen hebt voor je er aan begint.

Byron010 16 augustus 2021 09:58

Ik vind het persoonlijk wel een laag bedrag voor wat de bug had (of heeft, dat weten we niet) kunnen veroorzaken.

Nou kunnen ze zo achterhalen wie het misbruikt heeft (wie heeft recent zijn email aangepast met "amount100" en wie kreeg er recent 100 euro bij) maar als dit onbekend bleef had het veel schade aan kunnen richten.

Meemzeh @Byron010 • 16 augustus 2021 10:01

Nou kunnen ze zo achterhalen wie het misbruikt heeft (wie heeft recent zijn email aangepast met "amount100" en wie kreeg er recent 100 euro bij) maar als dit onbekend bleef had het veel schade aan kunnen richten.

Kan. Maar iemand heeft duizenden euro's aan skins kunnen kopen op de market en deze voor hard cash kunnen verkopen op websites als skinbaron oid. Het maakt voor diegene dan niet echt uit dat zijn/haar Steam-account geband is. Het geld is al binnen.

zwarteduif @Byron010 • 16 augustus 2021 10:09

Correct, iemand had dit makkelijk kunnen automatiseren over een grote schaal accounts en de hele markt kunnen beïnvloeden. Vind het ook een schaars bedrag voor welke schade het had kunnen opleveren.

Da_Teach 16 augustus 2021 10:06

Ik vind het wel grappig, een remote execution bug blijft jaren open staan. Maar een bug als dit is dicht in een paar dagen.

Maar goed, tegelijk snap ik niet hoe dit kan. Volgens mij is de bug ook meer bij de betaal provider. Een incorrecte hash methode. Hoe kan je nou een nieuwe string maken en de hash hetzelfde houden. Meeste providers gebruiken toch een full-parameter hash met secret key, dan zou een paar waardes verplaatsen van plek toch echt een andere hash moeten genereren.

Maar goed. Lekker gevonden.

Joecatshoe @Da_Teach • 16 augustus 2021 10:23

Hoe kan je nou een nieuwe string maken en de hash hetzelfde houden.

Dat is dus niet het geval, dit staat uitgelegd op de hackerone pagina. Het betaalsysteem gebruikt het email adres plus een vaste string in de vorm van 'amountx' als verificatiehash, waar x het bedrag is. Dus je kan het woord 'amount100' aan je emailadres toevoegen en vervolgens de 'amount' parameter in de POST op 100 zetten en voila: de hash zal worden geaccepteerd.

Kinderlijk eenvoudig dus, maar wel erg subliem hoe de persoon hier achter is gekomen. Toont dus ook aan dat de betalingsprovider geen full-parameter hashing doet zoals je zegt, wat toch wel een serieuze blunder is.

[Reactie gewijzigd door Joecatshoe op 28 juli 2024 09:41]

Victortjeuh @Da_Teach • 16 augustus 2021 10:25

Zouden andere diensten die gebruik maken van dit betaalplatform dan ook geen last hebben van deze bug?

TwiekertBOB 16 augustus 2021 10:04

Toen ik dit las, dacht ik eerst: Wat kan in vredesnaam de reden zijn dat je amount100 in je emailnaam moet zetten?

Maar het is de hash. dat maakt dit voor mij als leek toch echt wel briljant!

Wat leuk om dit soort dingen uit te proberen: de kick als het je lukt is meer waard dan 7500

bones 16 augustus 2021 10:29

Ik vraag me echt af hoe je een dergelijke bug ontdekt.

JDx @bones • 16 augustus 2021 11:08

Van alles proberen en een beetje frummelen in de code. Kon vroeger bij livestreams van beveiligde sites die "te simpel" alleen te zien waren op de site zelf.

Als ik het html document in een mapje zette mijnsite.nl/beveiligdesite.com/stream.html deed ie het wel.

Gewoon klooien, niks mee verdienen, gewoon leuk als het lukt. Tegenwoordig wel wat lastiger, maar simpele fouten komen nog steeds voor.

Wolfos 16 augustus 2021 12:24

Bizar dat deze informatie van de client kwam. Daar was duidelijk niet erg lang over nagedacht.

mjz2cool @Wolfos • 16 augustus 2021 13:38

Waar anders moet die informatie vandaan komen?
Het probleem is meer dat het geaccepteerd wordt door de andere kant, en dus niet goed genoeg gecontroleerd wordt of de waardes van de parameters kloppen door bijvoorbeeld parameter hashing.

[Reactie gewijzigd door mjz2cool op 28 juli 2024 09:41]

Wolfos @mjz2cool • 16 augustus 2021 14:33

De client kan een session ID hebben die aan een bepaalde transactie gekoppeld word. Steam kan dan via de payment provider de status van die transactie aanvragen, en welk product er daadwerkelijk is gekocht.

link0007 @Tweakez • 16 augustus 2021 13:55

Als de zinnen belachelijk klinken, grote kans dat het niet van DeepL komt dan

Die schrijft ondertussen netter dan de gemiddelde mens...

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (79)

Sorteer op:

Weergave: