网络安全科学研究工作人员 @drbrix 发觉了一个 Steam 的钱夹账户余额的 bug,接着将其报告给 Valve。后面一种在@drbrix 的幫助下取得成功修补了这一 Steam 的在线充值漏洞问题。
如果你的帐户(电子邮件)包括“amount100”,随后根据随意方式阻拦发给 Smart2Pay API 的数据信息,就可以随意改动你 Steam 钱夹里的账户余额,不论是 100 美金或是 1 美金。
在 @drbrix 发觉漏洞后,Valve 官方网将该漏洞危险等级标志为“比较严重”并快速修补。做为感谢,V 社向他奖赏了 7500 美金的谢谢金。
他表明:" 我觉得(这一 bug)危害十分明显,网络黑客可以为此挣钱并毁坏一切正常市场秩序,乃至以较低的价钱售卖游戏兑换码等。
据了解,HackerOne 是一家专业搜集互联网 Bug 并向汇报 Bug 的网络黑客付款悬赏金的网址,总公司设在美国旧金山,到上年 9 月她们付款的总悬赏金额度已超出 1 亿美金。
Valve 则表明 " 多亏了这类人,大家才可以与付款组织一起解决困难,进而防止为顾客导致损害。但双方都沒有表明先前是不是有些人真真正正使用率这一漏洞。
