Steam钱包无限充值漏洞!Valve已修复并支付黑客7500美元!

据外国媒体报道指出,一名安全研究者发现了Steam 的充值漏洞问题,只要更改帐户的电子邮件并包含特殊词语,就能无限给Steam 钱包充值!

近日,一名@drbrix 的安全研究者在HackerOne 平台发布了关于Steam 钱包充值有漏洞的言论:“我认为该漏洞的影响是非常明显的,攻击者可以直接赚到钱并打破正常的Steam 市场,廉价出手游戏密钥等”。用户只要把帐户的电子邮件地址更改为包含“amount100”的地址,然后截取发送给支付公司的API,就可以给Steam 钱包增加100美元。

对此,Valve 官方在发现其漏洞之后,也立即将漏洞危险等级标识为“严重”并迅速修复。最后,Valve 官方也支付了7500美元的赏金金额给发现这个漏洞的安全研究者@drbrix,并道谢:“感谢报告这个Bug 的人,让我们能够及时与支付供应商合作解决这些问题,没有对客户造成影响”。

目前,Valve 已经联系上了支付提供商Smart2Pay,在不影响顾客使用的前提下,双方快速通力修复了该漏洞。据了解,HackerOne 是一家专门收集网络Bug 并向上报Bug 的黑客支付赏金的网站,其总部位于旧金山,截至去年9月他们支付的总赏金金额已超过1亿美元。


资料来源:Gamersky