Krytyczny błąd Steama pozwalał na prawie darmowe doładowania konta. Luka została odkryta przez Polaka, który został nagrodzony przez Valve kwotą niemal 30 tys. złotych.
Niemal darmowe doładowania Steama to zapewne marzenie każdego gracza. Gry przecież nie są dzisiaj tanie i możliwość kupowania ich po dużo niższej cenie lub całkowicie za darmo brzmi szalenie interesująco i kusząco. No to musicie wiedzieć, że na Steamie był błąd, który mniej więcej na to właśnie pozwalał. Wpłacając zaledwie 1 dolara, można było wzbogacić swoje konto o dużo większą kwotę. Błąd został odkryty przez Polaka.
Dokładne opisanie luki jest mocno skomplikowane. Musicie wiedzieć, że proces sprowadzał się do zmiany adresu e-mail na Steamie, aby zawierał on sformułowanie "amount100". Następnie należało wybrać Smart2Pay, które oferują różnego rodzaju płatności (Polak wybrał akurat Przelewy24), a później przechwycić żądanie POST i poczynić dalsze modyfikacje (cały proces możecie poznać za sprawą strony Sekurak.pl). Finalnie, wpłacając 1 dolara, można było zwiększyć swoje saldo o dużo wyższą kwotę. Konsekwencje są dość oczywiste, bowiem pozwalają z jednej strony na zdobywanie gier niemal za darmo, a z drugiej zarabianie pieniędzy przez sprzedaż wybranych tytułów. Luka została odkryta przez Polaka o pseudonimie drbrix. Problem został opisany na forum HackerOne.
Dzięki osobie, która zgłosiła ten błąd, mogliśmy współpracować z dostawcą usług płatniczych w celu rozwiązania problemu bez wpływu na naszych klientów.
- powiedział rzecznik Steama.
Valve okazał wdzięczność i nagrodził Polaka kwotą 7500 dolarów. Wiele osób uważa jednak, że to zdecydowanie zbyt mała kwota za odkrycie tak krytycznego błędu.
Jak poinformowało nas biuro prasowe Przelewy24.pl, błąd leżał tylko i wyłącznie po stronie systemu Smart2Pay:
Nieprawidłowość, polegająca na niewłaściwym weryfikowaniu sumy kontrolnej transakcji, występowała w API oferowanym przez Smart2Pay, a nie przez serwis Przelewy24. Transakcja, po weryfikacji przez Smart2Pay, przechodziła przez systemy Przelewy24, jednak nie miało to żadnego wpływu na błędne działanie systemu płatności Steam. Manipulacja kwotą transakcji następowała bowiem krok wcześniej, w systemie Smart2Pay, który następnie przekazywał ją (potwierdzając jej autentyczność) do systemu Przelewy24.
- czytamy w oświadczeniu Przelewy24.pl
Zobacz: Steam - znamy daty tegorocznych wyprzedaży. Kiedy kupimy tańsze gry?
Zobacz: Cyberpunk 2077 na ponad 50 modach i w 4K wygląda obłędnie
Źródło zdjęć: Steam
Źródło tekstu: Sekurak, Hexus.net
