Egy dollárból százat lehetett varázsolni a Steamen

Súlyos sebezhetőséget talált egy lengyelnek tűnő biztonsági kutató a piacvezető digitális számítógépes játékáruházban, amelyet kihasználva a tilosban járóknak lehetőségük lett volna a belső egyenlegükre feltöltött összeg manipulálására. Ehhez a holland Smart2Pay szolgáltatót kellett volna igénybe venniük a bankkártyás pénzfeltöltéskor, azonban maga a hiba a Steam adatfeldolgozási logikájában lapult.

A drbrix néven futó személy a HackerOne szolgáltatásban jelezte a sérülékenységet, az érthetően megírt és példákkal illusztrált beszámolójából kiderült, hogy miként lehetett 1 dollár elköltésével 100 dollárt feltölteni a Steam belső egyenlegére. A sebezhetőséget közepes súlyosságúnak ítélte, azonban az ügy kivizsgálása során a Valve kritikussá nyilvánította, napokon belül megszüntette, továbbá 7500 dollár (2,24 millió forint) jutalomban részesítette a bejelentőt.

Az információk alapján a sebezhetőséget drbrix találta meg elsőként, így a Valve nagy szerencséjére nem használták ki rosszindulatúan; egy hirtelen kezdődött csalási hullám esetén rémálommá válhatott volna a közvetlen és közvetett következményeinek a kezelése.

Ha szeretne még több érdekes techhírt olvasni, akkor kövesse az Origo Techbázis Facebook-oldalát, kattintson ide!