سمح ثغرة أمنية في Steam للاعبين بتمويل محفظتهم الافتراضية إلى ما لا نهاية. للقيام بذلك، كان من الضروري استخدام طريقة الدفع Smart2Pay واعتراض طلب POST. اكتشف أحد المستخدمين الثغرة الأمنية وقام Valve بتصحيحها على الفور.
كان لدى Steam هروبًا ضيقًا. ومن خلال السماح لمستخدميها بتمويل محفظتهم الرقمية، تم فتح الخدمة عن غير قصدخرق أمني كان من الممكن أن يكلفه غالياً. في الواقع، كما أفاد المستخدم drbrix علىHackerOne، ثغرة أمنية على مستوى إضافة الأموال تسمح بذلكضع الكثير من المال كما تريد في محفظتك."أعتقد أن التأثير واضح جدًا، حيث يمكن للهاكر جمع الأموال واختراق سوق Steam، وبيع مفاتيح الألعاب بسعر رخيص، وما إلى ذلك. »يعلق.
للقيام بذلك، يوضح drbrix أنه يجب عليك البدء بتغيير عنوان البريد الإلكتروني المرتبط بحساب Steam الخاص بكوذلك بإضافة تسلسل الأحرف “amount100”. يتيح لك هذا التلاعب البسيط تعديل المبلغ الذي ترغب في استيراده إلى محفظتك،دون الحاجة إلى دفع أكثر من يورو واحد. للقيام بذلك، يجب عليك اعتراض طلب POST الذي يحدث بعد الدفع باستخدام طريقة Smart2Pay. عنوان URL البسيط يكفي لتعديل المبلغ الذي ترغب في الحصول عليه.
في نفس الموضوع:يحظر Steam الآن تغيير بلد حسابك بشكل منتظم
لم ينتظر Steam طويلاً لنشر التصحيح. حدث هذا الأخيرفي نفس يوم نشر التقريربواسطة دربريكس.“شكرا لك على هذا التقرير”استجابت الشركة بسرعة."لقد تم كتابتها بوضوح وحددت مخاطر تجارية حقيقية. لقد قمنا بتغيير تصنيف الخطورة إلى حرج، مما يعكس التكلفة المحتملة للشركة، وقمنا بتطبيق المكافأة وفقًا لذلك. ونأمل أن نسمع المزيد منك في المستقبل."
في نفس الموضوع:يحدد Steam أسعار الألعاب على المنصات المنافسة، ويقدم اللاعبون شكاوى
على سبيل المكافأة،دفع Valve لـ drbrix 7500 دولار. وهو مبلغ قد يبدو صغيراً بعض الشيء نظراً لحجم المخاطر الناجمة عن الخلل، وهو ما أكد عليه الناشر نفسه أيضاً. ورغم كل شيء، لم يشتكي المستخدم وقال إنه ممتن.