查看: 1281|回复: 2
收起左侧

[IT业界] 安全人士发现 Steam“改余额”漏洞,官方迅速修复并感谢

[复制链接]
朦胧的风
发表于 2021-8-16 21:42:27 | 显示全部楼层 |阅读模式
IT之家 8 月 16 日消息  网络安全研究人员 @drbrix 发现了一个 Steam 的钱包余额的 bug,随后将其反馈给 Valve。后者在@drbrix 的帮助下成功修复了这一 Steam 的充值漏洞问题。

IT之家了解到,如果你的帐户(电子邮件)包含“amount100”,然后通过任意方法拦截发送给 Smart2Pay API 的数据,就可以任意修改你 Steam 钱包里的余额,无论是 100 美元还是 1 美元。

在 @drbrix 发现漏洞后,Valve 官方将该漏洞危险等级标识为“严重”并迅速修复。作为答谢,V 社向他奖励了 7500 美元的感谢金。

他表示:" 我认为(这个 bug)影响非常明显,黑客可以以此赚钱并破坏正常市场规律,甚至以低廉的价格出售游戏兑换码等。

据悉,HackerOne 是一家专门收集网络 Bug 并向上报 Bug 的黑客支付赏金的网站,总部位于旧金山,到去年 9 月他们支付的总赏金金额已超过 1 亿美元。

Valve 则表示 " 多亏了这种人,我们才能够与支付机构一起解决问题,从而避免为客户造成损失。但双方都没有说明此前是否有人真正利用率这一漏洞。

a40eb97b-b833-43f1-80b5-093dca698691.jpg

https://www.ithome.com/0/569/591.htm

评分

参与人数 1分享 +3 收起 理由
屁颠屁颠 + 3 感谢提供分享

查看全部评分

偷电狂魔
头像被屏蔽
发表于 2021-8-16 22:06:45 | 显示全部楼层
我想,他要是把这个漏洞卖给黑客,肯定不止7500美元吧?
star-ray
发表于 2021-8-17 09:48:01 | 显示全部楼层
这位drbrix 才是真正的黑客,早期真正的黑客都是如此:发现漏洞后公开或上报相关公司

像勒索信的不配叫黑客,只能叫骇客
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-6 05:22 , Processed in 0.170056 second(s), 20 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表