Kto by pomyślał, że mająca 17 lat platforma do kupowania gier może mieć błąd, przez który da się doładowywać swój wirtualny portfel nieograniczonymi środkami. A jednak.
Tylko 7500 dolarów nagrody za znalezienie poważnej dziury w Steam
Hackerone to strona, na której spotykają się firmy odpowiedzialne za oprogramowanie (takie, jak chociażby Valve) z miłośnikami dłubania, majstrowania i hakowania. W tym miejscu ludzie zgłaszają bezpośrednio do twórców internetowych wszelkiej maści hacki i exploity, które mogą zagrozić bezpieczeństwu ich stron lub aplikacji. Jaki mają z tego zysk? A na przykład finansowy, bo firmy chętnie takie informacje przyjmują i premiują zdolnych hackerów nagrodami finansowymi. To bardzo ciekawy pomysł, dzięki któremu najprawdopodobniej udaje się uniknąć upublicznienia wielu mniejszych i większych dziur bezpieczeństwa w niejednej popularnej usłudze, platformie czy programie.
To cię zainteresuje Valve twierdzi, że nie ma gier, z którymi Steam Deck sobie nie poradziSteam Deck - z jednej strony chcę go kupić, z drugiej mam masę obaw
9 sierpnia Drbrix, jeden z użytkowników Hackerone ostrzegł (prywatnie) Valve o znalezieniu exploita portfela Steam, który umożliwił mu generowanie praktycznie nieograniczonych środków finansowych wewnątrz usługi. Exploit polegał na zmianie adresu e-mail i przechwytywaniu transakcji przy użyciu dowolnej metody płatności Smart2Pay.
Myślę, że wpływ na platformę jest dość oczywisty i atakujący może generować pieniądze, a następnie mieszać na rynku Steam sprzedające tanie klucze do gier i tym podobne.
- napisał Drbrix.
Valve zareagowało bardzo szybko i zajęło się sprawdzeniem doniesienia, dziękując za zwrócenie uwagi i opisując raport Drbrixa jako bardzo jasno napisany i pomocny w zlokalizowaniu, a następnie usunięciu problemu.
Dziękujemy a ten raport. Został on napisany jasno i jest pomocny w identyfikacji rzeczywistego ryzyka biznesowego. Zmieniliśmy ocenę na krytyczną, co odzwierciedla potencjalny koszt dla firmy i wyznaczyliśmy nagrodę za znalezienie luki. Mamy nadzieję, że będziesz się jeszcze z nami kontaktował w przyszłości.
Właściciel największej na świecie platformy do sprzedaży gier nagrodził Drbrixa kwotą...7500 dolarów. Taki zastrzyk gotówki na pewno cieszy (co też w rozmowie zaznaczył sam nagrodzony), natomiast patrząc na powagę dziury w tak dużej platformie wydaje się wręcz śmieszny. Szczególnie, że w ubiegłym roku Riot oferował 100 000 dolarów za znalezienie exploitów w świeżej grze Valorant, różnica jest więc ogromna. Różnica w kwotach jakie mogło przez taką lukę mogło stracić Valve (nie mówiąc o całym zamieszaniu gdyby sprawa wcześniej wypłynęła, a ludzie korzystali z hacka) a pieniądzach, jakie firma zapłaciła jest wręcz komiczna. Szczególnie, że nie mówimy tu o małym developerze czy raczkującej platformie, ale o Steamie, który przez długie lata był (a w opinii wielu osób wciąż jest) dyktującym warunki monopolistą na rynku PC-towych gier.
Czytaj dalej poniżej
Nie wiadomo na razie czy ktoś skorzystał z tego exploita i zasilił swój wirtualny portfel na Steam, a później przeniósł te wirtualne pieniądze na swoje prawdziwe konto bankowe. Oczywiście sposób już nie działa i po jego załataniu został upubliczniony wraz z raportem.
Hej, jesteśmy na Google News - Obserwuj to, co ważne w techu
