Un chercheur en sécurité sur Hackerone a récemment soumis un exploit qui pourrait être utilisé sur Steam pour gagner des fonds illimités. L’exploit a depuis été corrigé par Valve et la société a attribué 7 500 $ à l’utilisateur qui a découvert cet exploit.
Hackerone est un site qui met en relation des entreprises comme Valve avec des utilisateurs qui aiment pirater et bricoler des sites Web, des applications et d’autres logiciels. Ces personnes peuvent soumettre des exploits et des piratages à des entreprises en privé, puis, en échange, ces entreprises technologiques peuvent attribuer de l’argent aux pirates pour leurs découvertes. C’est un système qui a une réputation d’aider à écraser les exploits méchants avant qu’ils ne puissent être rendus publics.
Le 9 août Hackerone l’utilisateur Drbrix a alerté en privé Valve sur un exploit de Steam Wallet cela impliquait de changer votre adresse e-mail et d’intercepter des transactions utilisant n’importe quel mode de paiement Smart2Pay. Vous pouvez en savoir plus sur la méthode d’attaque complète et son fonctionnement via le rapport Hackerone, qui est devenu public le 1er août et a été repéré par La gorgée quotidienne et NME quelques jours plus tard.
« Je pense que l’impact est assez évident, l’attaquant peut générer de l’argent et casser le marché Steam, vendre des clés de jeu à bas prix, etc. Hackerone rapport.
Comme vous pouvez vous y attendre, Valve a rapidement répondu au message de Drbrix. Un employé de Valve sur le site nommé JonP a remercié Drbrix pour sa découverte et a expliqué que Valve avait rapidement validé ce qu’il avait signalé et prenait des mesures pour résoudre le problème. Un message de suivi de JonP a expliqué que le rapport était « clairement écrit » et « utile pour identifier un risque commercial réel ».
Valve a ensuite payé 7 500 $ à Drbrix, ce qui est bien, mais ne semble pas suffisant. Si cet exploit était devenu public ou avait été partagé avec quelques petits groupes de personnes, cela aurait pu coûter à Valve beaucoup plus de 7 500 $. Allez, Valve. L’année dernière, Riot offrait aux gens 100 000 $ pour trouver valeureux exploits.
Une fois que tout a été réglé et corrigé, Valve et Drbrix ont rendu public le rapport complet. À l’heure actuelle, nous ne savons pas si quelqu’un a pu utiliser cet exploit avant que Valve ne soit averti et ne le corrige.