Бесплатно Экспресс-аудит сайта:

17.08.2021

Valve заплатила хакеру за найденную уязвимость бесконечного пополнения Steam

Пользователь HackerOne под ником Drbrix получил от компании Valve вознаграждение за найденный эксплоит, позволявший начислять на счёт Steam бесконечные суммы. Компания перечислила на счет исследователя кибербезопасности сумму в размере 7,5 тысяч долларов.

Уязвимость позволяла перехватывать запросы на перечисления, которые идут через систему Smart2Pay, а затем отдельным письмом отправлять их с изменёнными суммами. При следующем фактическом зачислении даже одного доллара на счёт поступало количество средств, указанное в письме.

Cотрудник Valve подтвердил, что эксплоит действительно работал. После того, как компания закрыла уязвимость, разработчики попросили Drbrix воспользоваться эксплоитом ещё раз, чтобы убедиться, что неполадка устранена. После этого Valve перечислила исследователю вознаграждение.