Παρόλο που το Epic Games Store μοιράζει δωρεάν σε συχνή βάση, το Valve’s Steam εξακολουθεί να είναι η πλατφόρμα επιλογής για το μεγαλύτερο μέρος της κοινότητας παιχνιδιών PC για πολλούς λόγους, συμπεριλαμβανομένου του γεγονότος ότι είναι πιο ώριμο, προσφέρει τακτικά βαθιές πωλήσεις και ότι έχει μια τεράστια βιβλιοθήκη που προσφέρεται. Ως εκ τούτου, είναι ιδιαίτερα ενδιαφέρον να γνωρίζουμε ότι το Steam είχε πραγματικά ένα σφάλμα που επέτρεπε στους ανθρώπους να προσθέσουν απεριόριστα χρήματα στο πορτοφόλι τους.
Η εκμετάλλευση αναφέρθηκε από το “drbrix” στο HackerOne στις 9 Αυγούστου. Η ουσία του θέματος είναι ότι εάν είχατε ένα αναγνωριστικό email που περιέχει ορισμένες συμβολοσειρές όπως “amount100”, θα μπορούσατε να υποκλέψετε το POST , να υποβάλετε αίτημα στον τρόπο πληρωμής Smart2Pay και διογκώστε τεχνητά την αξία του για να λάβετε περισσότερα χρήματα από αυτά που πραγματικά πληρώσατε. Ουσιαστικά, θα μπορούσατε να κάνετε μια πληρωμή 1 $ για τα χρήματα του πορτοφολιού Steam, αλλά να αλλάξετε τις παραμέτρους του αιτήματος POST για να λάβετε μεγαλύτερο ποσό αντ ‘αυτού.
Η Valve αποδέχθηκε την έκθεση στις 10 Αυγούστου, της έδωσε μια “κρίσιμη” βαθμολογία σοβαρότητας και εφάρμοσε μια διόρθωση. Η αναφορά υποδεικνύει ότι ενώ είναι ακόμα δυνατή η τροποποίηση της τιμής παραμέτρου στο αίτημα POST, αυτό δεν επηρεάζει πλέον το ποσό που λαμβάνετε ως αντάλλαγμα.
Το ζήτημα δημοσιοποιήθηκε από τη Valve τώρα που εφαρμόστηκε μια επιδιόρθωση στον διακομιστή παραγωγής της.
Το άτομο που ενημέρωσε αρχικά τη Valve για την εκμετάλλευση έλαβε επίσης ένα χρηματικό έπαθλο $ 7.500 επειδή η αναφορά του ήταν “σαφώς γραμμένη και χρήσιμη για τον εντοπισμό πραγματικού επιχειρηματικού κινδύνου”.