Zdjęcie: Steam

Specjalista ds. bezpieczeństwa internetowego przedstawiający się jako drbrix wpadł na ślad niezwykle niebezpiecznej luki w zabezpieczeniach sytemu płatności od Valve. Hackerzy mogli wykorzystać ją, aby zmodyfikować zapytanie serwerowe do usługi Smart2Pay i zmienić kwotę zasilenia portfela Steam już po rozliczeniu płatności przez zewnętrznego operatora. Dzięki temu cyberprzestępcy mogliby np. zapłacić jednego dolara za doładowanie w wysokości 100 dolarów.

Jak poinformował serwis The Daily Swig, drbrix zgłosił swoje znalezisko za pośrednictwem witryny Hackerone łączącej specjalistów ds. cyberbezpieczeństwa, którzy wyszukują i raportują błędy w powszechnie dostępnym oprogramowaniu. Strona pozwala zaalarmować twórców usług o potencjalnie niebezpiecznych lukach, zanim wieść o nich rozniesie się po sieci, a co za tym idzie – przyspieszyć proces wyeliminowania groźnych bugów.

Gdyby błąd w procesie przetwarzania transakcji nie został naprawiony, a cyberprzestępcy wpadliby na jego ślad, mogliby poważnie zachwiać steamowym rynkiem. Istniałoby ryzyko, że za bezcen wykupywaliby przedmioty z Rynku Steam oraz gry do dalszej odsprzedaży.

Pracownik Valve o nicku JonP zareagował na zgłoszenie drbrixa i potwierdził, że wspomniany błąd faktycznie mógł posłużyć do wyłudzenia steamowych środków płatniczych. Korporacja przyjęła zgłoszenie i naprawiła lukę w systemie realizacji płatności. W ramach wynagrodzenia za pomoc w znalezieniu błędu drbrix otrzymał 7500 dolarów nagrody.

Zobacz także:

-

Steam Deck – szef Xboxa chwali nową konsolę od Valve

-

Quest 2 królem Steama. Oculus rządzi pecetową branżą VR