Steam のセキュリティ上の欠陥により、プレイヤーは仮想ウォレットに無限に資金を投入することができました。これを行うには、Smart2Pay 支払い方法を使用し、POST リクエストをインターセプトする必要がありました。この脆弱性はユーザーによって検出され、Valve によって直ちに修正されました。
スチームは九死に一生を得た。ユーザーが自分のデジタルウォレットに資金を投入できるようにすることで、このサービスは知らず知らずのうちにオープンしました。彼に多大な損害を与えた可能性のあるセキュリティ侵害。実際、ユーザー drbrix が報告したように、ハッカーワン、資金追加レベルの脆弱性により、財布に好きなだけお金を入れてください。「その影響は非常に明らかだと思います。ハッカーはお金を生み出して Steam 市場を破壊し、ゲームキーを安く販売することができます。 »とコメントしている。
これを行うには、まず Steam アカウントに関連付けられているメール アドレスを変更する必要があると drbrix は説明しています。一連の文字「amount100」を追加する。この簡単な操作で、ウォレットにインポートする金額を変更できます。1ユーロ以上支払うことなく。これを行うには、Smart2Pay メソッドを使用した支払い後に発生する POST リクエストをインターセプトする必要があります。希望する金額を変更するには、単純な URL で十分です。
同じテーマについて:Steam はアカウントの国を定期的に変更することを禁止しました
Steam はパッチの展開にそれほど時間はかかりませんでした。後者が発生しましたレポートの発行と同日drbrixによって。「このレポートをありがとう」、会社はすぐに対応してくれました。「それは明確に書かれており、実際のビジネスリスクを特定しました。ビジネスへの潜在的なコストを反映して重大度の評価を重大に変更し、それに応じて報奨金を適用しました。将来的にはさらに多くのご意見をいただけることを期待しています。」
同じテーマについて:Steam が競合プラットフォームのゲームの価格を設定、プレイヤーが苦情を申し立てる
ご褒美として、バルブはdrbrixに7,500ドルを支払った。この欠陥によって引き起こされるリスクの程度を考えると、この額は少し少ないように思えるかもしれませんが、発行者自身もそれを強調しています。それでも、ユーザーは文句を言わず、感謝していると言いました。
