Steam钱包惊现余额充值严重漏洞 官方迅速修复

日前，Hackerone的网络安全研究人员Drbrix发现Steam新漏洞，可允许用户获得Steam钱包资金，且金额没有上限。

Drbrix在发现该漏洞后自愿将漏洞提交给Valve公司，V社看到后立刻修复了这个漏洞并向他奖励了7500美元感谢金。

V社将该漏洞的危险等级标识为严重，据悉，除了这位安全研究人员，此前没有其他人发现该漏洞，这非常值得庆幸。

据悉，该漏洞与荷兰支付平台Smart2Pay有关，允许steam用户免费地添加无限制的资金到steam钱包而且没有上限。

该漏洞具体细节：用户通过特定电子邮件这一付款选项结账时，可以拦截交易并将steam钱包中的余额膨胀至无数倍。

简单来说，假如你的账户（电子邮件）包含“amount100”，那就可以通过任意方法拦截发送给Smart2Pay API的数据。

接下来，你就可以随意修改你的Steam钱包里的余额，不管100美元还是1美元，心有多大Steam钱包金额就有多大。

Drbrix表示：我认为漏洞影响非常明显，黑客能以此赚钱并破坏正常市场规律，甚至以低廉的价格出售游戏兑换码等。

对此，Steam平台运行方V社表示：多亏了这种人，我们才能够与支付机构一起解决问题，从而避免为客户造成损失。

当然，我们现在已无法复现或利用该漏洞了，前文有述：V社接到反馈后在Drbrix的帮助下成功修复该充值漏洞问题。

据悉，Hackerone是位于美国旧金山的国外知名的漏洞众测平台，客户包括英特尔、任天堂、Twitter、阿里巴巴等。

Hackerone主要是为解决当下不断有人利用软件漏洞勒索公司的安全问题，让全世界有能力的人都可以来检测BUG。

当然，发现漏洞后会获取佣金，Hackerone则会从佣金中抽成，因此就衍生了一些专门从事这项工作的单位和个人。

目前，Hackerone的注册成员平均报酬在20000人民币左右，截止去年九月时支付的总赏金的金额已经超过1亿美元。