Такой баг обнаружил специалист по цифровой безопасности, скрывающийся под псевдонимом drbrix. Найденная уязвимость позволяла почти бесплатно пополнять свой кошелёк Steam весьма значительными денежными суммами, тратя при этом сущие копейки. Специалист заявил об уязвимости в начале августа через платформу Hackerone. В настоящее время баг уже исправлен, а исследователь получил 7500 долларов за свои труды.
Суть метода заключалась в привязке к аккаунту стим почту со строкой «amount100». После этого закинуть баланс на сумму в 1 доллар США через Smart2Pay. Затем оставалось только перехватить POST-запрос, отредактировать и вписать желаемую сумму. Таким образом можно было получить на счёт деньги которые вели вместо исходного одного.
«По-моему, последствия очевидны: злоумышленник сможет генерировать деньги и сломать рынок Steam, продавая игровые ключи по дешевке и так далее», — резюмировал drbrix.
В настоящее время неизвестно, знал ли об этом баге кто-то помимо drbrix, и не успели ли злоумышленники воспользоваться данной проблемой до того, как она была устранена.