一名代號為 drbrix 的駭客於賞金網站 HackerOne 公開,表示他們發現數位平台 Steam 的錢包系統存在一個漏洞,讓有心人士可以利用產生無限資金。此漏洞目前經 Valve 確後已緊急修復,並支付駭客 7,500 美元當作報酬。
HackerOne 指出,這名駭客於 8 月 9 日先行提醒 Valve 有關此漏洞的威脅,表示可以利用任何使用 Smart2Pay 的交易,任意修改儲存資金的金額,例如 1 美元(amount1)更改成 100 美元(amount100)。
Valve 官方人員 JonP 也作出回應:「非常感謝你的報告,這很明顯會對我們帶來財務上的重大問題。我們已將安全層級提升至重大,調查任何潛在的財物損失,並給予這名駭客應得的賞金。」
Valve 目前沒有進一步的公開消息,不確定是否有人成功利用此漏洞圖利。
留言