Riot recompensará con hasta 100k $ por localizar fallos en Vanguard

RusTu

Riot Games contará con los servicios de hackerone para detectar vulnerabilidades en Vanguard, el sistema de anti-cheat de VALORANT.

De hecho, todos aquellos que contribuyan a detectar un fallo real podrán recibir desde 25.000$ hasta 100.000$ dependiendo del tipo de error.

Aunque uno lea que puede recibir hasta 100.000 de dólares por ayudar a detectar inestabilidades en VALORANT, no están sencillo, y Riot Games ha impuesto diversos criterios.

En el artículo indican que buscan proteger los datos de los jugadores y cualquier tipo de inestabilidad de en el sistema Vanguard, incluyendo numerosos bugs que puedan afectar al servidor.

De hecho, aseguran que el precio mínimo por indicar una incidencia correcta será de 250$, e implementan una tabla de recompensas a problemas más severos.

Eligibility Requirements for Vanguard Bounties:

  • The exploit works on the latest version of Vanguard
  • You must provide a working proof of concept for the exploit that can be run by Riot Games along with a detailed report
  • The exploit hasn’t been shared elsewhere before
  • The findings are not disclosed outside of this program without the explicit approval of Riot Games

The payouts outlined represent the maximum payout for each category, the actual bounty paid out depends on the impact and practicality of the exploit presented.

duriel_one

Voy sacando el Notepad++ con template de Matrix

2 1 respuesta
w4lk3r

El que programa los hacks podrá jugar a dos bandas ggrito

1 respuesta
LzO

#3 Esto no tiene nada que ver con cheats, estamos hablando de otro nivel... el que programa los hacks es un apañado en informatica al lado de un hacker de verdad.

1 respuesta
Overwatch

#2 Yo voy a empezar creando un interfaz gráfico con visual basic.

12
MaPaCHe

Algunos usuarios de MV se harán ricos ¿no?

1
Hachu

Un trabajo complejo sobre una backdoor que afecta a millones de personas y solo 100k? Parece un poco calderilla lo que ofrecen no?

1 respuesta
RusTu

#7 ves las condiciones por recompensa y se deben estar descojonando los que desarrollen chetos.

1 respuesta
cabron

#8

esto no tiene nada que ver con chetos, es por encontrar fallos de seguridad, algo que permita a un atacante hacerse con el control de tu ordenador aprovechando que Vanguard se ejecuta con acceso a todo.

1 respuesta
LzO

Aquí la gente no lee

Fyn4r

#4 me gustaría conocer tu definición de "hacker de verdad"

1 respuesta
Nucklear

Pues yo lo voy a mirar

Edit: Tambien os digo que un exploit de top tier de esa lista con la expansion de Valorant vale x10 lo que ofrece RITO

1 respuesta
RusTu

#9 ya. Pero son los primeros que están mirando las vulnerabilidades del sistema.

Encontrar un fallo así de gordo en un programa de estas características, si lo vende, tiene que tener un precio bastante mayor que la recompensa ofrecida

2
Sk8eR

@AikonCWD vamos a medias? xd

AikonCWD

Soltar bounties en juegos.. juraría que es la primera vez que lo veo. Mola!

2 respuestas
blhero

yo he leído una noticia de casualidad sobre este sistema anticheat, y si es cierto que pueden tener acceso a todo nuestro ordenador lo veo una mierda.

Tocapelotas

2 respuestas
MaPaCHe
#16blhero:

E leído

Permíteme decir que mucho no has leído.

Respecto a lo que has puesto, se ha hablado ya en este foro.

2
AikonCWD

#16 El tema es que el anticheat no deja de ser un driver, que hasta queda cargado en memoria sin necesidad de que ejecutes el juego.
Imagino que por esa razón han querido hacer un hackerone para buscar y pagar bugs... ya que un exploit podría dar acceso remoto/local a todo el sistema y estaríamos hablando de una vulnerabilidad muy peligrosa.

LICI

Por 100k$ no muevo mi ratón

guillauME

#15 Habrá que ver si realmente sueltan el dinero ¿Dónde está el contrato que les obliga a ello? Apesta a que recibiran mucha ayuda pero luego a nadie le darán una buena suma de dinero porque nada les obliga a hacerlo. Además se reservan el derecho a cancelar esto o cambiarlo en cualquier momento.

No inspira confianza.

3 respuestas
AikonCWD

#20 Se basa todo en la filosofía de responsible-disclosure: https://en.wikipedia.org/wiki/Responsible_disclosure

Cuando un "hacker" detecta un exploit, éste se pone en non-disclosure. Es decir, no se divulga ni se publica. Se contacta con la empresa afectada, se entrega un informe de los daños, una PoC (prueba de concepto) y se acuerda un precio (si es que la compañía no tiene un programa de bounties).

En ese momento el exploit pasa a responsible-disclosure. Los tiempos depende de la gravedad y de la complejidad para parchear el fallo. Tras agotado el tiempo, el exploit pasa a full-disclosure, es decir, se publica en foros, se vende en el mercado negro y se manda todo el software y la reputación de la compañía a la mierda.

1 respuesta
RusTu

#20 la plataforma donde está (hackerone), supuestamente es la garante de que Riot pague.

1 respuesta
AikonCWD

#20 Para que te hagas una idea de la gravedad... el bounty más caro viene a ser a descubrir un fallo que permita a un atacante, meterse en el PC de cualquier jugador de Valorant, sin necesidad de interacción del usuario. Algo así como los exploits de BlueKeep, EternalBlue, etc... ahora el juego no lo tiene mucha gente, pero imagina que el juego fuese free y publico... estaría instalado en practicamente todos los PCs domésticos.

Si un hacker va con un PoC de ese tipo. Riot va a pagar para parchear eso.

1 respuesta
koalas

#23 nokia.. este es tu momento!!! no lo dejes pasar xDD

1 respuesta
AikonCWD

#24 xddd

Yo no sé el resto de users de por aquí, pero estoy a años luz de encontrar un exploit a nivel de kernel en un driver.
Se necesita mucha experiencia para lograr algo así, y partimos de la base en que su driver estará bien programado y lo habrán diseñado con mimo.

No lo voy ni a intentar, es un mundo que se me escapa totalmente

1 2 respuestas
koalas

#25 se me cae un mito :(

RusTu

#25

7
guillauME

#21 #22 Tiene sentido lo que decís pero yo no me fío de nadie a estas alturas y menos de un gigante de los videojuegos. Me imagino que los que se dedican a encontrar estos exploits saben que se hacen y no se dejarán tomar el pelo pero yo siempre sospecho que algún bonachón aportaría información sin recibir nada a cambio si en Riot se hacen los tontos y por un momento ven claro que el que reporta el exploit no es consciente de la gravedad de lo que reporta.

2 respuestas
RusTu

#28 -> #12

Tambien os digo que un exploit de top tier de esa lista con la expansion de Valorant vale x10 lo que ofrece RITO

Nors3

#15 Pues no es nuevo, también en HackerOne

https://www.theloadout.com/csgo/2eggs-valve-csgo-exploit

1