Valve пользуется услугами HackerOne — сервиса, где люди с хакерскими навыками могут сообщать компаниям об уязвимостях в их цифровых продуктах и получать за это вознаграждения. Недавно пользователь drbrix рассказал, что в Steam есть баг, при помощи которого можно было генерировать деньги для кошелька своей учётной записи.
Как пишет drbrix, потенциальный хакер должен был прикрепить профиль в Steam к почте, где в адресе есть термин amount100 — например, brixamount100abc@mail.com. После этого нужно было запустить пополнение кошелька Steam через метод оплаты Smart2Pay и перехватить запрос POST, который отправляется на globalapi.smart2pay.com. В этом запросе менялись определённые параметры, в результате чего на кошелёк зачислялась значительно увеличенная сумма — можно было заплатить $1, а на аккаунте Steam появилось бы $100.
Valve отреагировала на отчёт довольно быстро: пост на HackerOne появился 9 августа, а уже 10 августа представитель Steam вышел на связь. Судя по переписке, исправление подготовили в тот же день. Valve поставила багу критический уровень важности и присудила пользователю drbrix вознаграждение — $7 500.
Благодаря человеку, который сообщил об этом баге, нам вместе с оператором платежей удалось устранить проблему без неудобств для наших клиентов.
Сотрудник Valve в комментарии для The Daily Swig