Valve załatało lukę, która pozwalała graczom odblokować nielimitowane środki

Valve załatało lukę, która pozwalała graczom odblokować nielimitowane środki

Co tam darmowe gry na platformie Epic Games, Steam miał lukę, która sprawiała, że gracze mogli za darmo nabyć praktycznie całą bibliotekę tej popularnej platformy PC. 

Chociaż sklep Epic Games Store stara się jak może, by przyciągnąć graczy na swoją stronę, choćby za sprawą regularnie rozdawanych darmowych gier, to jednak Steam wciąż jest preferowaną platformą dla większości graczy na PC. Wynika to z kilku powodów, w tym faktu, że jest bardziej dojrzałą platformą, regularnie oferuje duże wyprzedaże i ma ogromną bibliotekę gier w swojej ofercie. Co jednak najważniejsze, bardzo duża część graczy nie chce rozdrabniać się na kilka platform i przyzwyczaiła się już do Steam, które jest najdłużej na rynku. Co więcej, okazuje się, że ​​Steam miał błąd, który pozwalał użytkownikom dodawać nieograniczone środki do ich portfeli. I to jest argument, z którym trudno dyskutować :)

Steam miał lukę, która sprawiała, że gracze mogli załadować nielimitowane środki do swojego portfela.

Valve załatało lukę, która pozwalała graczom odblokować nielimitowane środki

Luka została zgłoszona przez „drbrix” na HackerOne 9 sierpnia. Zainteresowani mogą zagłębić się w szczegóły w tym miejscu, ale w dużym skrócie jeśli ktoś posiada identyfikator e-mail zawierający pewne ciągi, takie jak „amount100”, może przechwycić żądanie POST do swojej metody płatności Smart2Pay i sztucznie zawyżyć jej wartości, aby otrzymać więcej środków, niż faktycznie zapłacił. Tym samym można załadować portfel Steam kwotą 1 zł, ale zmienić parametry żądania POST, aby zamiast tego otrzymać więcej pieniędzy na swoje konto.

Steam Deck - nadzieje i obawy związane z konsolą przenośną od Valve

Valve zaakceptowało zgłoszenie błędu 10 sierpnia, przyznało mu ocenę „krytyczną” i zastosowało już poprawkę. Raport wskazuje, że chociaż nadal można zmienić wartość parametru w żądaniu POST, nie ma to już wpływu na kwotę, którą otrzymamy w zamian. Problem został upubliczniony przez Valve po zastosowaniu poprawki na serwerze produkcyjnym. Osoba, która początkowo poinformowała Valve o exploitie, została również nagrodzona nagrodą w wysokości 7500 dolarów, ponieważ jej zgłoszenie było „jasno napisane i pomocne w identyfikacji realnego ryzyka biznesowego”. Podciąg wiadomości e-mail był tu o tyle istotny, że mógł być zmodyfikowany w celu zawyżenia środków. Na przykład, jeśli nasz adres e-mail zawiera podciąg „brixamount100”, można było go zmienić na „brix & amount= 100” w żądaniu POST, aby otrzymać więcej środków. Obecnie nie jest jasne, czy błąd był aktywnie wykorzystywany.

Zobacz także:

Pokaż / Dodaj komentarze do: Valve załatało lukę, która pozwalała graczom odblokować nielimitowane środki

 0