Chyba Steamu umožňovala donekonečna plnit virtuální peněženku. Hacker, který ji objevil, dostal od Valve hezkou odměnu
Hacker a uživatel webu Hackerone, který propojuje velké společnosti s komunitou šikovných hackerů, kteří v softwaru a systémech odhalují nebezpečné chyby, si přišel na hezkou odměnu z účtu Valve. Odhalil totiž potenciálně drahou chybu v systému virtuálních peněženek na Steamu. Skrze konkrétní klíčová slova v mailové adrese šlo o ošálit přičítání financí skrze bránu Smart2Pay. Provozovatel Steamu hackera obdaroval 7500 dolary.
- Hacker s přezdívkou drbrix našel chybu v systému peněženky Steam
- Skrze slovo v mailové adrese šlo systém ošálit a generovat množství peněz
- Valve problém zaplátovalo a hackera odměnilo
Dle všeho stačilo na Steamu použít mailovou adresu, která obsahovala frázi amount100. Autor konkrétně využil adresu brixamount100abc@... Následně se mu povedlo zmanipulovat transakci skrze platební bránu Smart2Pay a do virtuální peněženky přidat libovolné množství peněz. Z účtu mu přitom byl stržen pouze jeden dolar. Konkrétnější postup si mohou technicky zběhlejší čtenáři přečíst přímo ze zdroje. Asi není třeba dodávat, že uživatel s přezdívkou drbrix označil chybu za “kritickou”, protože by mohla vést k vysokým škodám pro Valve a Steam.
Krátce po zveřejnění se do situace vložila samotná společnost a ve spolupráci s drbrixem problém vyřešila. Hackera pak odměnila příjemným bonusem v podobě 7500 dolarů (v přepočtu zhruba 160 tisíc českých korun). Také poděkovala za to, jak podrobná a jednoznačně napsaná byla původní zpráva.
Zatím není jasné, zda někdo exploit nenalezl dříve a nevyužil ho.