Bruker fant måte å fylle uendelig med penger på Steam-lommeboka

Har fått belønning på over 60 000 kroner fra Valve.

16. august 2021 10:55

(PressFire.no): Det er på hacker-nettsiden Hackerone, som brukes av selskaper til å invitere privatpersoner til å angripe produktene sine, at en bruker for noen dager siden fant et fiffig knep som kunne brukes mot Steam.

Brukeren, drbrix, fant ut at ved å endre epost-adressen sin til å inkludere et satt parameter og så sende en ny forespørsel om betaling, kunne man lure betalingssystemet Steam bruker til å tro at man hadde betalt langt mer enn det man faktisk hadde.

Ved å betale inn én dollar, ville systemet istedet bruke det nye parameteret, som kunne være satt til en hvilken som helst sum.

Valve var på pletten dagen etter, og kunne verifisere at angrepet var sant. De satte i gang med en fiks, som raskt ble dyttet ut til Steam-brukerne.

– Takk for rapporten. Den var tydelig skrevet og hjalp oss å finne en ekte risiko til selskapet vårt, skriver Valve til slutt.

Valve så seg ikke enig i drbrix' opprinnelige vurdering av hvor alvorlig utnyttelsen var (medium) – som også er grunnlaget for hvor mye man kan få i belønning.

De økte den heller til «kritisk» og sendte over 7500 dollar (i overkant av 66 000 kroner) som takk for hjelpen.​

Hei! Vi trenger din hjelp - om du liker å lese spillstoffet vårt her, vurder gjerne å hjelpe oss direkte på Patreon, så kan vi fortsette med det. Takk <3