Valve, Steam'deki Bir Sorunu Fark Eden Araştırmacıyı Ödüllendirdi

Valve, Steam'deki Bir Sorunu Fark Eden Araştırmacıyı Ödüllendirdi

Sınırsız Steam Cüzdan fonu için güvenlik açığı bulundu, Bir güvenlik araştırmacısı, keşif için 7.500 dolarlık bir ödül aldı.

Bir güvenlik araştırmacısının yardımıyla Valve, bir kullanıcının Steam cüzdanına yatırılan paranın değerini tahrif etmesine izin verecek bir istismar buldu ve düzeltti. İstismar, örneğin 1 dolarlık bir depozitoyu 100 dolarlık bir depozitoya dönüştürerek işe yaradı. Hesabın e-posta adresini "amount100" içeren bir adresle değiştirerek ve ardından bir ödeme şirketi API'sine bir mesaj göndererek gerçekleştirildi.

kncdge87fmutymbxurahyn-1024-80-jpg.webp

Hack için yazılanlar, beyaz şapka korsanlığı böcek ödül sitesi HackerOne'da drbrix tarafından yayınlandı. Valve ve drbrix daha sonra bir düzeltme uygulandıktan sonra değişimi halka açtı. Drbrix, hatayı ilk önce "orta" öncelik olarak yayınladı ve "Etkinin oldukça açık olduğunu düşünüyorum, saldırgan para üretebilir ve buhar pazarını kırabilir, oyun anahtarlarını ucuza satabilir vb."

Valve, açığı test ettikten ve bir düzeltmeyi denedikten sonra, hatayı "Kritik" önem düzeyine ve ilgili ödemeyi "işletmenin potansiyel maliyetini yansıtan" 7.500 USD'ye yükseltti.

Valve, The Daily Swig'e "Bu hatayı bildiren kişi sayesinde, sorunları müşteriler üzerinde herhangi bir etki yaratmadan çözmek için ödeme sağlayıcısıyla birlikte çalışabildik" dedi. Valve, herhangi birinin poSEtansiyel istismarı gerçekten kötüye kullanıp kullanmadığını söylemedi.

HABERE YORUM KAT
UYARI: Küfür, hakaret, rencide edici cümleler veya imalar, inançlara saldırı içeren, imla kuralları ile yazılmamış,
Türkçe karakter kullanılmayan ve büyük harflerle yazılmış yorumlar onaylanmamaktadır.