Исправленный эксплоит Steam позволял бесконечно накручивать кошелёк
Компания Valve давно проводит конкурсы на поиск опасных уязвимостей с выплатой призовых. И вот, по такой программе HackerOne было сообщено о большой проблеме, связанной с возможностью бесконечно долго накручивать свой счёт в Steam.
Она позволяла злоумышленнику генерировать деньги в кошельке Steam изменяя адрес электронной почты и используя тонкости в методах платежа, которые в качестве провайдера используют Smart2Pay. Это долгий и сложный процесс, и вряд ли им кто-либо воспользовался, но тем не менее, Valve отчиталась об устранении проблемы.
Исправление ошибки было выполнено ещё на прошлой неделе, и поэтому теперь о ней можно было безопасно сообщить. В обмен на выявленную проблему Valve выплатила премию в размере 7500 долларов.
Проблема с кошельками является для Valve крайне важной, поскольку компания торгует не только ПО, но и аппаратными решениями. В случае выявления мошенничества учётную запись вместе со всеми играми и приложениями можно легко заблокировать, а вот поставленные гаджеты уже вернуть не удастся. К счастью для Valve, теперь такой сценарий исключён.