Обнаружен недостаток безопасности для неограниченного количества средств в кошельке Steam, исправлен

Исследователь безопасности получил за находку награду в размере 7500 долларов.

С помощью исследователя безопасности Valve нашла и исправила эксплойт, который позволял пользователю подделывать сумму депозита на свой кошелек Steam. Эксплойт работал, например, путем превращения депозита в 1 доллар в депозит в 100 долларов. Это было достигнуто путем изменения адреса электронной почты учетной записи на адрес, включающего «amount100», а затем перехвата сообщения API платежной компании.

Описание взлома было опубликовано на сайте HackerOne, посвященном хакерским ошибкам в белых шляпах, под ником drbrix. Позднее Valve и drbrix опубликовали обмен, как только было внесено исправление. Drbrix сначала разместил ошибку как «средний» приоритет, заявив: «Я думаю, что влияние довольно очевидно, злоумышленник может заработать деньги и сломать рынок Steam, продать ключи к игре по дешевке и т. Д.»

Valve после тестирования эксплойта и попытки исправления впоследствии повысила степень серьезности ошибки до «Критической» и соответствующую выплату до 7 500 долларов США, «что отражает потенциальные затраты для бизнеса».

«Мы надеемся услышать больше от вас в будущем», – сказали сотрудники Valve.

Да, уверена.

Valve сообщила The Daily Swig : «Благодаря человеку, сообщившему об этой ошибке, мы смогли работать с поставщиком платежных услуг, чтобы решить проблемы без какого-либо воздействия на клиентов». Valve не сообщила, действительно ли кто-нибудь злоупотреблял потенциальным эксплойтом.