Valve ဂိမ္းကုမၸဏီဟာ သူတုိ႔ရဲ႕ Steam အြန္လိုင္းပလက္ေဖာင္းေပၚမွာ တင္ထားတဲ့ မည္သည့္ဂိမ္းကုိမဆုိ ၾကိဳက္သေလာက္ ခုိးယူႏုိင္စြမ္းရွိတဲ့ လုံျခဳံေရးယုိေပါက္တစ္ခုအား ေဖာ္ထုတ္ညႊန္ျပေပးခဲ့တဲ့ ပညာရွင္ကို ဆုေငြ ေဒၚလာႏွစ္ေသာင္း ခ်ီးျမွင့္ေပးခဲ့ပါတယ္။
ေဖာ္ထုတ္ခဲ့သူကေတာ့ လုံျခဳံေရးပုိင္းပညာရွင္ Artem Moskowsky ျဖစ္ျပီး သူရွာေတြ႕ခဲ့တဲ့ Bug ကို ဘယ္သူ႕ကိုမွ အသိမေပးခဲ့ဘဲ ၾသဂုတ္လမွာတည္းက Valve ကို တုိက္ရုိက္အသိေပးအေၾကာင္းၾကားခဲ့တာ ျဖစ္ပါတယ္။ လြန္ခဲ့တဲ့ ရက္သတၱပတ္ အနည္းငယ္ကမွ ဒီျပႆနာကို အျပီးတုိင္ရွင္းလင္းႏုိင္ခဲ့ျပီး အမ်ားကို အသိေပးလာခဲ့တာပါ။
အဆုိပါ Bug နဲ႔ဆုိရင္ Developer အေကာင့္ရွိတဲ့ သူတစ္ဦးဟာ Steam ေပၚမွာ တင္ေရာင္းေနတဲ့ ၾကိဳက္တဲ့ဂိမ္းရဲ႕ Activation Key ကိုေထာင္နဲ႔ခ်ီ ထုတ္ယူႏုိင္တာျဖစ္လို႔ ေတာ္ေတာ္ၾကီးမားတဲ့ Bug တစ္ခုပဲ ျဖစ္ပါတယ္။ ေတြ႕ရွိခဲ့ပုံနဲ႔ ပတ္သက္လို႔ Moskowsky က သူဟာ ဝက္ဘ္အက္ပလီေကးရွင္း တစ္ခုရဲ႕ စြမ္းေဆာင္ရည္ကို စစ္ေဆးေနတုန္း အမွတ္မထင္ ေတြ႕ခဲ့တာ ျဖစ္တယ္လို႔ ဆုိပါတယ္။
ဂိမ္းတစ္ခုရဲ႕ ပုိင္ဆုိင္မႈသတ္မွတ္ခ်က္ကို Parameter တစ္ခု ေျပာင္းလဲလုိက္ရုံနဲ႔ အခမဲ့ ရရွိခဲ့တာ ျဖစ္ျပီး အျခားဂိမ္းေတြကိုပါ လိုက္စမ္းသပ္ၾကည့္ခဲ့တယ္လို႔ သူကဆုိတယ္။ ဒီ Bug ရဲ႕ထိေရာက္မႈကို ရွာေဖြဖို႔အတြက္ Moskowsky က စမ္းသပ္ခဲ့ရာမွာ Portal 2 ဗီဒီယုိဂိမ္းအတြက္ Key ေပါင္း ၃၆၀၀၀ ထိ ထုတ္ယူၾကည့္ခဲ့တယ္လို႔ သိရပါတယ္။ တစ္ေယာက္ေယာက္ကသာ ဒီပုံစံအတုိင္း ေဒၚလာ ၅၀ အထက္ ဂိမ္းေတြကို ေထာင္နဲ႔ခ်ီ ထုတ္လုပ္ခဲ့ရင္ Valve အတြက္ နစ္နာမႈ ၾကီးမားသြားႏုိင္တယ္။
Moskowsky ကေတာ့ သူ႕ေတြ႕ရွိမႈကို အမ်ားကို အသိေပးမယ့္အစား တိတ္တိတ္ေလးပဲ Valve ကို အစီရင္ခံခဲ့ျပီး ကုမၸဏီရဲ႕ Bug Bounty စနစ္ကေန ဆုေငြျပန္ထုတ္ႏုိင္ခဲ့ပါတယ္။ ဆုေၾကးေငြက ေဒၚလာ ၁၅၀၀၀ ျဖစ္ျပီး မည္သူ႕ကိုမွ အသိမေပးဘဲ လုံျခဳံစြာ လာအသိေပးခဲ့လို႔ ေဘာနပ္စ္အေနနဲ႔ ေဒၚလာငါးေထာင္ ထပ္ေပးခဲ့တာပါ။
ဒါဟာ Valve အေနနဲ႔ Moskowsky ကို ခ်ီးျမွင့္တဲ့ ပထမဆုံးအၾကိမ္လည္း မဟုတ္သလို၊ အျမင့္ဆုံး ဆုေၾကးလည္း မဟုတ္ေသးပါဘူး။ ဇူလိုင္လတုန္းကလည္း တူညီတဲ့ Portal ေနရာမွာပဲ SQL Injection Bug တစ္ခုကို ေဖာ္ထုတ္ျပခဲ့လို႔ သူ႕ကို ေဒၚလာ ၂၅၀၀၀ ခ်ီးျမွင့္ခဲ့ပါေသးတယ္။
Ref – Game Industry
Unicode
Valve ဂိမ်းကုမ္ပဏီဟာ သူတို့ရဲ့ Steam အွန်လိုင်းပလက်ဖောင်းပေါ်မှာ တင်ထားတဲ့ မည်သည့်ဂိမ်းကိုမဆို ကြိုက်သလောက် ခိုးယူနိုင်စွမ်းရှိတဲ့ လုံခြုံရေးယိုပေါက်တစ်ခုအား ဖော်ထုတ်ညွှန်ပြပေးခဲ့တဲ့ ပညာရှင်ကို ဆုငွေ ဒေါ်လာနှစ်သောင်း ချီးမြှင့်ပေးခဲ့ပါတယ်။
ဖော်ထုတ်ခဲ့သူကတော့ လုံခြုံရေးပိုင်းပညာရှင် Artem Moskowsky ဖြစ်ပြီး သူရှာတွေ့ခဲ့တဲ့ Bug ကို ဘယ်သူ့ကိုမှ အသိမပေးခဲ့ဘဲ သြဂုတ်လမှာတည်းက Valve ကို တိုက်ရိုက်အသိပေးအကြောင်းကြားခဲ့တာ ဖြစ်ပါတယ်။ လွန်ခဲ့တဲ့ ရက်သတ္တပတ် အနည်းငယ်ကမှ ဒီပြဿနာကို အပြီးတိုင်ရှင်းလင်းနိုင်ခဲ့ပြီး အများကို အသိပေးလာခဲ့တာပါ။
အဆိုပါ Bug နဲ့ဆိုရင် Developer အကောင့်ရှိတဲ့ သူတစ်ဦးဟာ Steam ပေါ်မှာ တင်ရောင်းနေတဲ့ ကြိုက်တဲ့ဂိမ်းရဲ့ Activation Key ကိုထောင်နဲ့ချီ ထုတ်ယူနိုင်တာဖြစ်လို့ တော်တော်ကြီးမားတဲ့ Bug တစ်ခုပဲ ဖြစ်ပါတယ်။ တွေ့ရှိခဲ့ပုံနဲ့ ပတ်သက်လို့ Moskowsky က သူဟာ ဝက်ဘ်အက်ပလီကေးရှင်း တစ်ခုရဲ့ စွမ်းဆောင်ရည်ကို စစ်ဆေးနေတုန်း အမှတ်မထင် တွေ့ခဲ့တာ ဖြစ်တယ်လို့ ဆိုပါတယ်။
ဂိမ်းတစ်ခုရဲ့ ပိုင်ဆိုင်မှုသတ်မှတ်ချက်ကို Parameter တစ်ခု ပြောင်းလဲလိုက်ရုံနဲ့ အခမဲ့ ရရှိခဲ့တာ ဖြစ်ပြီး အခြားဂိမ်းတွေကိုပါ လိုက်စမ်းသပ်ကြည့်ခဲ့တယ်လို့ သူကဆိုတယ်။ ဒီ Bug ရဲ့ထိရောက်မှုကို ရှာဖွေဖို့အတွက် Moskowsky က စမ်းသပ်ခဲ့ရာမှာ Portal 2 ဗီဒီယိုဂိမ်းအတွက် Key ပေါင်း ၃၆၀၀၀ ထိ ထုတ်ယူကြည့်ခဲ့တယ်လို့ သိရပါတယ်။ တစ်ယောက်ယောက်ကသာ ဒီပုံစံအတိုင်း ဒေါ်လာ ၅၀ အထက် ဂိမ်းတွေကို ထောင်နဲ့ချီ ထုတ်လုပ်ခဲ့ရင် Valve အတွက် နစ်နာမှု ကြီးမားသွားနိုင်တယ်။
Moskowsky ကတော့ သူ့တွေ့ရှိမှုကို အများကို အသိပေးမယ့်အစား တိတ်တိတ်လေးပဲ Valve ကို အစီရင်ခံခဲ့ပြီး ကုမ္ပဏီရဲ့ Bug Bounty စနစ်ကနေ ဆုငွေပြန်ထုတ်နိုင်ခဲ့ပါတယ်။ ဆုကြေးငွေက ဒေါ်လာ ၁၅၀၀၀ ဖြစ်ပြီး မည်သူ့ကိုမှ အသိမပေးဘဲ လုံခြုံစွာ လာအသိပေးခဲ့လို့ ဘောနပ်စ်အနေနဲ့ ဒေါ်လာငါးထောင် ထပ်ပေးခဲ့တာပါ။
ဒါဟာ Valve အနေနဲ့ Moskowsky ကို ချီးမြှင့်တဲ့ ပထမဆုံးအကြိမ်လည်း မဟုတ်သလို၊ အမြင့်ဆုံး ဆုကြေးလည်း မဟုတ်သေးပါဘူး။ ဇူလိုင်လတုန်းကလည်း တူညီတဲ့ Portal နေရာမှာပဲ SQL Injection Bug တစ်ခုကို ဖော်ထုတ်ပြခဲ့လို့ သူ့ကို ဒေါ်လာ ၂၅၀၀၀ ချီးမြှင့်ခဲ့ပါသေးတယ်။
Ref – Game Industry
