Steam’de ortaya çıkan büyük bir açık, tüm kullanıcıları zengin edebilirdi. Sorun giderildi fakat Valve riskin seviyesini “kritik”e yükseltti.
Steam’deki açık cüzdandaki paranızı istediğiniz gibi ayarlamanızı sağlıyordu
Araştırmacı “drbrix”, HackerOne aracılığıyla söz konusu Steam açığını Valve’e bildirdi ve saldırganların Steam cüzdanındaki parayı dilediği gibi değiştirmesini sağlayan güvenlik açığını bulduğunu belirtti. Drbrix, herhangi bir saldırganın öncelikle “amount100” terimini içeren e-postayı Steam hesaplarına bağlaması gerektiğini ve bunu takiben, Smart2Pay kullanan herhangi bir ödemeyi seçerek cüzdanlarına normal şekilde para ekleyemeye devam edebilecekleri bir açık keşfetti.
Smart2Pay aracılığıyla yapılan ödemeler 1 dolardan az olmalı, çünkü bu açığı kullanan herkes POST isteğini (Sunucuya gönderilen veri) durdurabilir ve ödeme tutarını değiştirebilir. Valve‘den JonP, drbrix’e teşekkür etti. Valve’e bildirilen açık geliştirici ekip tarafından kontrol edildikten sonra düzeltildi. Şirket, drbrix’e yardımından dolayı 7500 dolar ödül verdi ve bildirilen sorunu orta dereceden kritik seviyeye yükseltti.
