Valve закрыла уязвимость в движке CS:GO, грозившую взломом геймеров

Татьяна Никитина 20 Апреля 2021 - 16:40

...

Valve закрыла уязвимость в движке CS:GO, грозившую взломом геймеров

Специалисты Valve устранили опасную уязвимость в Source, актуальную для Counter Strike: Global Offensive (CS:GO) и других игр, использующих этот движок. О наличии новой возможности удаленного выполнения кода исследователи сообщили разработчику онлайн-игр почти два года назад, однако тот не торопился принять адекватные меры и запретил автору находки публиковать подробности до решения проблемы.

Уязвимость, о которой идет речь, позволяет захватить контроль над компьютером геймера — для этого достаточно лишь пригласить его поиграть на площадке Steam. Эксплойт также можно поставить на поток, автоматизировав рассылку приглашений от имени жертв взлома.

Исследователь Florian из команды специалистов по реверс-инжинирингу Secret Club подал соответствующий отчет в Valve в июне 2019 года. По его словам, в ходе долгой переписки на платформе HackerOne разработчик оценил уязвимость как критическую и признал, что он слишком медленно реагирует на подобные сигналы.

По всей видимости, латание этой дыры для затронутых игр происходило поэтапно и неспешно, но автора находки об этом не извещали, хотя и выплатили вознаграждение полгода назад. В этом месяце раздосадованный Florian опубликовал ряд тревожных твитов, обнаружив все ту же проблему в движке CS:GO.

Не исключено, что этот шаг подтолкнул Valve к возобновлению переписки: в выходные Florian с облегчением сообщил, что уязвимость полностью пропатчена и ему разрешили опубликовать подробности эксплойта.

Стоит отметить, что это далеко не первый случай, когда Valve тормозит с активной реакцией на подобные инциденты. Ярким примером является случай с Василием Кравцом, который долго пытался достучаться до разработчиков, обнаружив уязвимости нулевого дня в Steam. Его попросту забанили в программе по поиску багов на HackerOne, и исследователь вынужден был опубликовать свои находки.

Следующая главная новость »

ИБ без ручного режима: как автоматизировать защиту в 2026?
Регистрируйтесь на эфир!

Яков Шпунт 25 Мая 2026 - 17:08

Утечки информации Умышленные утечки информации Кража данных Домашние пользователи Корпорации

На продажу выставлены данные 340 млн пользователей OnlyFans

На одном из хакерских форумов выставили на продажу массив данных, который якобы содержит сведения о 340 млн пользователей популярного ресурса для взрослых OnlyFans. Скорее всего, речь идёт о компиляции из более ранних утечек и публично доступной информации из аккаунтов. Однако такие данные всё равно могут использоваться для шантажа, фишинга и других атак.

Об обнаружении объявления сообщил портал Hackread. Пользователь под ником Euphoric_Reply_5727 предлагает за 0,3 биткоина сведения о 340 млн пользователей и авторов контента.

По данным из объявления, массив содержит имена пользователей, ники профилей, адреса электронной почты, номера телефонов, даты создания аккаунтов, статистику контента, рейтинги авторов и подписчиков, связанные профили в социальных сетях, а также частичные платёжные данные — последние четыре цифры номера карты.

Продавец утверждает, что получил данные из внутренних систем платформы. Однако в личной переписке он признал, что собрал массив из разных источников и сопоставил его с публично доступной информацией из аккаунтов. При этом проверка Hackread показала, что база как минимум частично содержит актуальные сведения.

Из-за этого такие данные могут использоваться для шантажа, фишинга, подбора паролей, социоинженерных атак и других видов посягательств.

Официального сообщения от OnlyFans по поводу инцидента пока не было. Объективных данных, подтверждающих взлом платформы, также нет.

В январе текущего года в публичном доступе уже обнаружили массив почти из 150 млн логинов и паролей пользователей различных сервисов, включая OnlyFans. Предположительно, его источником были данные, собранные инфостилерами.