Steam钱包惊现余额充值严重漏洞 官方迅速修复
- A
日前,Hackerone的网络安全研究人员Drbrix发现Steam新漏洞,可允许用户获得Steam钱包资金,且金额没有上限。
Drbrix在发现该漏洞后自愿将漏洞提交给Valve公司,V社看到后立刻修复了这个漏洞并向他奖励了7500美元感谢金。
V社将该漏洞的危险等级标识为严重,据悉,除了这位安全研究人员,此前没有其他人发现该漏洞,这非常值得庆幸。
据悉,该漏洞与荷兰支付平台Smart2Pay有关,允许steam用户免费地添加无限制的资金到steam钱包而且没有上限。
该漏洞具体细节:用户通过特定电子邮件这一付款选项结账时,可以拦截交易并将steam钱包中的余额膨胀至无数倍。
简单来说,假如你的账户(电子邮件)包含“amount100”,那就可以通过任意方法拦截发送给Smart2Pay API的数据。
接下来,你就可以随意修改你的Steam钱包里的余额,不管100美元还是1美元,心有多大Steam钱包金额就有多大。
Drbrix表示:我认为漏洞影响非常明显,黑客能以此赚钱并破坏正常市场规律,甚至以低廉的价格出售游戏兑换码等。
对此,Steam平台运行方V社表示:多亏了这种人,我们才能够与支付机构一起解决问题,从而避免为客户造成损失。
当然,我们现在已无法复现或利用该漏洞了,前文有述:V社接到反馈后在Drbrix的帮助下成功修复该充值漏洞问题。
据悉,Hackerone是位于美国旧金山的国外知名的漏洞众测平台,客户包括英特尔、任天堂、Twitter、阿里巴巴等。
Hackerone主要是为解决当下不断有人利用软件漏洞勒索公司的安全问题,让全世界有能力的人都可以来检测BUG。
当然,发现漏洞后会获取佣金,Hackerone则会从佣金中抽成,因此就衍生了一些专门从事这项工作的单位和个人。
目前,Hackerone的注册成员平均报酬在20000人民币左右,截止去年九月时支付的总赏金的金额已经超过1亿美元。
