Jusqu’à récemment, Steam avait un exploit qui aurait pu vous permettre d’ajouter des fonds illimités à votre portefeuille Steam. Découvert par le chercheur en sécurité « drbrix », la vitrine avait un moyen pour les utilisateurs de simuler la valeur de leurs dépôts en changeant quelques mots dans l’adresse e-mail associée au compte. Valve a maintenant corrigé l’exploit et a attribué 7500 $ (environ 5410 £) à drbrix pour l’avoir trouvé.
Le piratage aurait impliqué un utilisateur de Steam changeant l’adresse e-mail de son compte pour inclure la phrase « amount100 », avant d’ajouter un peu d’argent à son portefeuille en utilisant une méthode qui passe par le système de paiement Smart2Pay.
Cet exploit permettrait alors au pirate d’intercepter la demande envoyée aux serveurs de Smart2Pay, leur permettant de modifier le montant d’argent qu’ils ajoutaient réellement. Donc, s’ils ne payaient que 1 $, ils pourraient le transformer en 100 $ à la place. (Je suppose que ce n’est techniquement pas « infini » si vous devez payer un peu à chaque fois, mais quand même !) Vous pouvez lire l’explication complète de la façon dont tout cela a fonctionné sur HackerOne.
Dans un fil qui a maintenant été rendu public (vu que l’exploit a été corrigé), « jonp », membre du personnel de Valve, a remercié drvrix, les récompensant avec la prime de 7500 $.
« Cela a été clairement écrit et utile pour identifier un risque commercial réel. Nous avons changé l’évaluation de la gravité en Critique, reflétant le coût potentiel pour l’entreprise, et avons appliqué une prime en conséquence », a déclaré jonp. « Nous espérons en savoir plus sur vous à l’avenir. »
On ne sait pas si quelqu’un a réussi à utiliser ce hack avant qu’il ne soit corrigé, mais dans une déclaration au Daily Swig, Valve a déclaré : « Grâce à la personne qui a signalé ce bogue, nous avons pu travailler avec le fournisseur de paiement pour résoudre le problème sans aucun problème. impact sur les clients. »
Tout est bien qui finit bien alors. Sauf pour les personnes qui auraient pu utiliser ce bug en secret, je suppose. Plus de cadeaux pour eux.