Olyan óriási hibát talált a Steamen egy biztonsági szakember, amivel „végtelen” pénzt lehetett csinálni, ezért a Valve bőkezűen megjutalmazta őt.
Olyan óriási hibát talált a Steamen egy biztonsági szakember, amivel „végtelen” pénzt lehetett csinálni, ezért a Valve bőkezűen megjutalmazta őt.
Egy biztonsági szakember, felhasználónevén Drbrix rájött, hogy a Steamen hogyan csinálhat 10 dollárból 1000-et, ezáltal rávilágítva egy olyan problémára, melyet kihasználva súlyosan megkárosítható a Valve, hiszen így tucatnyi játékot lehetne venni kvázi hamis, nem létező pénzből.
Drbrix a komoly biztonsági rést a HackerOne-on keresztül azonnal jelentette a fejlesztőknek, akik miután kivizsgálták az esetet rögtön nekiálltak annak befoltozásának. Mivel egy rendkívül komoly kockázatú biztonsági hiányosságról volt szó, a Valve úgy döntött, hogy a bug bounty rendszer keretén belül egy méltányos összeggel jutalmazza a szakembert, aki így nem kevesebb,
Mivel a hiba már elhárult, azt is közzétették, mégis miként volt lehetséges a valódi összeg Steames megsokszorosítása. A trükk első lépése az volt, hogy meg kell változtatni a Steam fiókhoz tartozó email címet úgy, hogy benne legyen az „amount100” kifejezés.
Ezután a Smart2Pay-en keresztül (egy holland illetőségű fizetési szolgáltatás, aminek a neve országonként eltérő lehet) a Steames pénztárcára kell egy kisebb összeget utalni, jelen esetben 1, vagy 10 dollárt. Elméletben, ha az email címben benne volt az „amount100”, akkor a visszaigazoló üzenet segítségével megváltoztatható a kapott összeg az eredetileg elutalt többszörösére. Ezután pedig csak vissza kell állítani az email címet, majd várni a pénz megérkezésére. Ezt pedig elviekben akárhányszor meg lehetett volna ismételni.
A leírás szerint ez egy óriási lehetőség a csalók számára, hogy olyan Steam profilokat készítsenek fillérekből, melyeken több ezer játék van, hogy aztán sokszoros áron adjanak túl rajta. De nyilván a játékosok is kihasználhatták volna, ezzel szert téve megannyi „ingyen” játékra.
via – NME, The Daily Swig
