Rájött, hogyan csinálhat a Steamen 10 dollárból 1000-et, több milliós jutalmat kapott érte

Egy biztonsági szakember, felhasználónevén Drbrix rájött, hogy a Steamen hogyan csinálhat 10 dollárból 1000-et, ezáltal rávilágítva egy olyan problémára, melyet kihasználva súlyosan megkárosítható a Valve, hiszen így tucatnyi játékot lehetne venni kvázi hamis, nem létező pénzből.

Drbrix a komoly biztonsági rést a HackerOne-on keresztül azonnal jelentette a fejlesztőknek, akik miután kivizsgálták az esetet rögtön nekiálltak annak befoltozásának. Mivel egy rendkívül komoly kockázatú biztonsági hiányosságról volt szó, a Valve úgy döntött, hogy a bug bounty rendszer keretén belül egy méltányos összeggel jutalmazza a szakembert, aki így nem kevesebb,

mint 7500 dollárt, mintegy 2,2 millió forintot kapott jutalmul.

Mivel a hiba már elhárult, azt is közzétették, mégis miként volt lehetséges a valódi összeg Steames megsokszorosítása. A trükk első lépése az volt, hogy meg kell változtatni a Steam fiókhoz tartozó email címet úgy, hogy benne legyen az „amount100” kifejezés.

Ezután a Smart2Pay-en keresztül (egy holland illetőségű fizetési szolgáltatás, aminek a neve országonként eltérő lehet) a Steames pénztárcára kell egy kisebb összeget utalni, jelen esetben 1, vagy 10 dollárt. Elméletben, ha az email címben benne volt az „amount100”, akkor a visszaigazoló üzenet segítségével megváltoztatható a kapott összeg az eredetileg elutalt többszörösére. Ezután pedig csak vissza kell állítani az email címet, majd várni a pénz megérkezésére. Ezt pedig elviekben akárhányszor meg lehetett volna ismételni.

A leírás szerint ez egy óriási lehetőség a csalók számára, hogy olyan Steam profilokat készítsenek fillérekből, melyeken több ezer játék van, hogy aztán sokszoros áron adjanak túl rajta. De nyilván a játékosok is kihasználhatták volna, ezzel szert téve megannyi „ingyen” játékra.

A Steam – mint már mondottam – már kijavította a hibát, és nincs tudomásuk arról, hogy bárki is kihasználta volna Drbrixen kívül.

via – NME, The Daily Swig