Risolvono una vulnerabilità che consentiva denaro illimitato nel portafoglio Steam

Oggi lo sappiamo Valvola ha riscontrato e corretto un curioso exploit che avrebbe permesso a un utente di falsificare il valore dei fondi nel proprio portafoglio Steam. Intendiamoci, questo exploit è stato scoperto da un utente di nome “dbrix“che ha lanciato l’allarme su HackerOne, un sito web di bug bounty di hacker di cappelli bianchi.

L’exploit ha funzionato, ad esempio, convertire un deposito di 1 euro in un deposito di 100 euro. Ciò è stato ottenuto modificando l’indirizzo e-mail dell’account in uno che includesse “importo 100” (importo 100) e quindi intercettando un messaggio all’API di una società di pagamento.

Valve e drbrix hanno reso pubblica la vulnerabilità una volta implementata una correzione al problema in modo che gli utenti non potessero abusarne. Drbrix ha inizialmente pubblicato la sentenza come priorità “media”, dicendo: “Penso che l’impatto sia abbastanza ovvio, l’attaccante può fare soldi e rompere il mercato Steam, vendere chiavi di gioco a buon mercato, ecc.“.

Valve, dopo aver testato l’exploit e testato una soluzione che risolvesse il problema, ha elevato il bug a gravità “Critica” e ha effettuato il pagamento di un premio del valore di 6.400 euroriflettendo il costo potenziale per l’impresa.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato.