Steam

Znalazł dziurę w Steam, która gwarantowała nieograniczone środki na zakupy

PW
Paweł Winiarski
5

Kto by pomyślał, że mająca 17 lat platforma do kupowania gier może mieć błąd, przez który da się doładowywać swój wirtualny portfel nieograniczonymi środkami. A jednak.

Tylko 7500 dolarów nagrody za znalezienie poważnej dziury w Steam

Hackerone to strona, na której spotykają się firmy odpowiedzialne za oprogramowanie (takie, jak chociażby Valve) z miłośnikami dłubania, majstrowania i hakowania. W tym miejscu ludzie zgłaszają bezpośrednio do twórców internetowych wszelkiej maści hacki i exploity, które mogą zagrozić bezpieczeństwu ich stron lub aplikacji. Jaki mają z tego zysk? A na przykład finansowy, bo firmy chętnie takie informacje przyjmują i premiują zdolnych hackerów nagrodami finansowymi. To bardzo ciekawy pomysł, dzięki któremu najprawdopodobniej udaje się uniknąć upublicznienia wielu mniejszych i większych dziur bezpieczeństwa w niejednej popularnej usłudze, platformie czy programie.

9 sierpnia Drbrix, jeden z użytkowników Hackerone ostrzegł (prywatnie) Valve o znalezieniu exploita portfela Steam, który umożliwił mu generowanie praktycznie nieograniczonych środków finansowych wewnątrz usługi. Exploit polegał na zmianie adresu e-mail i przechwytywaniu transakcji przy użyciu dowolnej metody płatności Smart2Pay.

Myślę, że wpływ na platformę jest dość oczywisty i atakujący może generować pieniądze, a następnie mieszać na rynku Steam sprzedające tanie klucze do gier i tym podobne.

- napisał Drbrix.

Valve zareagowało bardzo szybko i zajęło się sprawdzeniem doniesienia, dziękując za zwrócenie uwagi i opisując raport Drbrixa jako bardzo jasno napisany i pomocny w zlokalizowaniu, a następnie usunięciu problemu.

Dziękujemy a ten raport. Został on napisany jasno i jest pomocny w identyfikacji rzeczywistego ryzyka biznesowego. Zmieniliśmy ocenę na krytyczną, co odzwierciedla potencjalny koszt dla firmy i wyznaczyliśmy nagrodę za znalezienie luki. Mamy nadzieję, że będziesz się jeszcze z nami kontaktował w przyszłości.

Właściciel największej na świecie platformy do sprzedaży gier nagrodził Drbrixa kwotą...7500 dolarów. Taki zastrzyk gotówki na pewno cieszy (co też w rozmowie zaznaczył sam nagrodzony), natomiast patrząc na powagę dziury w tak dużej platformie wydaje się wręcz śmieszny. Szczególnie, że w ubiegłym roku Riot oferował 100 000 dolarów za znalezienie exploitów w świeżej grze Valorant, różnica jest więc ogromna. Różnica w kwotach jakie mogło przez taką lukę mogło stracić Valve (nie mówiąc o całym zamieszaniu gdyby sprawa wcześniej wypłynęła, a ludzie korzystali z hacka) a pieniądzach, jakie firma zapłaciła jest wręcz komiczna. Szczególnie, że nie mówimy tu o małym developerze czy raczkującej platformie, ale o Steamie, który przez długie lata był (a w opinii wielu osób wciąż jest) dyktującym warunki monopolistą na rynku PC-towych gier.

Nie wiadomo na razie czy ktoś skorzystał z tego exploita i zasilił swój wirtualny portfel na Steam, a później przeniósł te wirtualne pieniądze na swoje prawdziwe konto bankowe. Oczywiście sposób już nie działa i po jego załataniu został upubliczniony wraz z raportem.

źródło

Hej, jesteśmy na Google News - Obserwuj to, co ważne w techu

Więcej na tematy: