Уязвимость в Steam позволила игрокам «набить кошельки»

Valve перевела эксперту по безопасности 7500 долларов за обнаружение ошибки, которая позволяла пользователям сервиса цифровой дистрибуции Steam искусственно увеличивать средства в своём кошельке.

Эксперт drbrix сообщил об эксплойте, заявив, что они «обнаружили уязвимость, которая позволяет злоумышленнику генерировать баланс Steam-кошелька». Ошибка позволяла игрокам с «amount100» в адресе электронной почты учетной записи Steam перехватывать платежи, сделанные через Smart2Pay, и искусственно их увеличивать.

Уязвимость в Steam позволила игрокам «набить кошельки»

Подробно объяснив, как может быть сгенерирован эксплойт, JonP из Valve сразу же поблагодарил drbrix и согласился, что эта уязвимость действительно работает. При этом компания повысила серьезность проблемы до критической и оперативно взялась за её решение.

Спасибо за этот отчёт. Он был чётко написан и помог определить реальные риски для бизнеса. Мы изменили оценку серьезности на критическую, отражающую потенциальные затраты для бизнеса, и назначили вознаграждение соответственно.

JonP из Valve

Позже стало известно, что Valve выпустила исправление, которое устраняет уязвимость.