安全人士發(fā)現(xiàn) Steam“改余額”漏洞，官方迅速修復(fù)并感謝

IT之家 8 月 16 日消息 　網(wǎng)絡(luò)安全研究人員 ＠drbrix 發(fā)現(xiàn)了一個(gè) Steam 的錢(qián)包余額的 bug，隨后將其反饋給 Valve。后者在＠drbrix 的幫助下成功修復(fù)了這一 Steam 的充值漏洞問(wèn)題。

IT之家了解到，如果你的帳戶(hù)（電子郵件）包含“amount100”，然后通過(guò)任意方法攔截發(fā)送給 Smart2Pay API 的數(shù)據(jù)，就可以任意修改你 Steam 錢(qián)包里的余額，無(wú)論是 100 美元還是 1 美元。

在 @drbrix 發(fā)現(xiàn)漏洞后，Valve 官方將該漏洞危險(xiǎn)等級(jí)標(biāo)識(shí)為“嚴(yán)重”并迅速修復(fù)。作為答謝，V 社向他獎(jiǎng)勵(lì)了 7500 美元的感謝金。

他表示：" 我認(rèn)為（這個(gè) bug）影響非常明顯，黑客可以以此賺錢(qián)并破壞正常市場(chǎng)規(guī)律，甚至以低廉的價(jià)格出售游戲兌換碼等。

據(jù)悉，HackerOne 是一家專(zhuān)門(mén)收集網(wǎng)絡(luò) Bug 并向上報(bào) Bug 的黑客支付賞金的網(wǎng)站，總部位于舊金山，到去年 9 月他們支付的總賞金金額已超過(guò) 1 億美元。

Valve 則表示 " 多虧了這種人，我們才能夠與支付機(jī)構(gòu)一起解決問(wèn)題，從而避免為客戶(hù)造成損失。但雙方都沒(méi)有說(shuō)明此前是否有人真正利用了這一漏洞。

廣告聲明：文內(nèi)含有的對(duì)外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時(shí)間，結(jié)果僅供參考，IT之家所有文章均包含本聲明。