知道晚了 V社封堵了无限获取Steam钱包资金的漏洞
2023-06-02 11:53:00
大中小
漏洞赏金平台Hackerone上的一位安全研究员最近提交了一个漏洞,该漏洞可以让用户在Steam上无限获得资金。目前该漏洞已被V社修复,发现该漏洞的用户获得了7500美元的奖励。
Hackerone是一个将V社等公司与那些喜欢对网站、应用和其他软件进行黑客操作的用户联系起来的网站。这些人可以私下向公司提交漏洞,作为交换,这些科技公司将给予黑客奖励。这是一个在恶意软件上市前帮助其粉碎的系统。
在8月9日,Hackerone用户Drbrix私下警告V社Steam钱包的漏洞,包括更改电子邮件地址和拦截使用任何Smart2Pay支付方式的交易。你可以通过Hackerone报告了解攻击的完整方法和工作原理,该报告于8月10日公开。
Drbrix在他的Hackerone报告中写道:“我认为这种影响是显而易见的,攻击者可以创造金钱并破坏Steam市场,低价出售游戏兑换码等等。”
正如你想的那样,V社很快回应了Drbrix的帖子。一位名叫JonP的V社雇员感谢了Drbrix的发现,他解释道:V社已经迅速验证了他的报告,并正在采取措施解决这个问题。JonP的后续消息称该报告“写得很清楚”,“有助于识别真正的业务风险”。
V社随后向Drbrix支付了7500美元作为奖励,这是一笔不小的金额,但似乎还不够。如果这一漏洞被公开或被小部分人利用,那么V社的损失将远远高于7500美元。去年,拳头为发现《瓦罗兰特》漏洞的人提供了10万美元的奖励。