Skip to main content

Steam aveva un grave exploit che permetteva di 'generare' denaro illimitato

Valve ha premiato con $7500 chi lo ha scoperto.

Un ricercatore di sicurezza su Hackerone ha recentemente presentato un exploit che potrebbe essere utilizzato su Steam per ottenere fondi illimitati. Da allora l'exploit è stato corretto da Valve e la società ha assegnato $7500 all'utente che ha scoperto la vunlnerabilità.

Hackerone è un sito che collega aziende come Valve con utenti che "armeggiano" con siti Web, app e altri software. Queste persone possono inviare exploit e hack alle aziende in privato e quindi, in cambio, queste aziende tecnologiche possono assegnare denaro agli hacker per le loro scoperte. È un sistema che ha una comprovata esperienza nell'evitare che determinati hack diventino pubblici.

Il 9 agosto, l'utente Hackerone Drbrix ha avvisato privatamente Valve di un exploit del Portafoglio di Steam che comportava la modifica dell'indirizzo email e l'intercettazione di transazioni che utilizzano qualsiasi metodo di pagamento Smart2Pay.

"Penso che l'impatto sia abbastanza ovvio, chi attacca può generare denaro, vendere chiavi di gioco a basso costo, ecc", ha pubblicato Drbrix nel suo report su Hackerone.

Come ci si potrebbe aspettare, Valve ha risposto rapidamente al post di Drbrix. Un dipendente di Valve di nome JonP ha ringraziato Drbrix per la scoperta e ha spiegato che Valve aveva rapidamente convalidato ciò che aveva segnalato e stava prendendo provvedimenti per risolvere il problema. Un messaggio di follow-up di JonP ha spiegato che il report era "scritto in modo chiaro" ed è stato "utile per identificare un reale rischio aziendale".

Valve ha quindi pagato Drbrix $7500 per il suo prezioso aiuto.

Dopo che tutto è stato sistemato, Valve e Drbrix hanno reso pubblico il report completo. Al momento, non sappiamo se qualcuno sia stato in grado di utilizzare questo exploit prima della patch.

Fonte: Eurogamer.net.