Valve перевела эксперту по безопасности 7500 долларов за обнаружение ошибки, которая позволяла пользователям сервиса цифровой дистрибуции Steam искусственно увеличивать средства в своём кошельке.
Эксперт drbrix сообщил об эксплойте, заявив, что они «обнаружили уязвимость, которая позволяет злоумышленнику генерировать баланс Steam-кошелька». Ошибка позволяла игрокам с «amount100» в адресе электронной почты учетной записи Steam перехватывать платежи, сделанные через Smart2Pay, и искусственно их увеличивать.
Подробно объяснив, как может быть сгенерирован эксплойт, JonP из Valve сразу же поблагодарил drbrix и согласился, что эта уязвимость действительно работает. При этом компания повысила серьезность проблемы до критической и оперативно взялась за её решение.
Спасибо за этот отчёт. Он был чётко написан и помог определить реальные риски для бизнеса. Мы изменили оценку серьезности на критическую, отражающую потенциальные затраты для бизнеса, и назначили вознаграждение соответственно.
JonP из Valve
Позже стало известно, что Valve выпустила исправление, которое устраняет уязвимость.
Источник: iXBT