Компания Valve наградила работающего в сфере информационной безопасности исследователя с ником drbrix денежным поощрением в размере $7500. В такую сумму разработчики оценили обнаруженную им уязвимость, эксплуатация которой позволяла злоумышленникам корректировать баланс кошелька Steam по своему усмотрению.
Согласно имеющимся данным, для эксплуатации упомянутой уязвимости пользователю Steam требовалось привязать к своему аккаунту почтовый ящик, в названии которого содержалось «amount100». После этого при совершении платежа через систему Smart2Pay с помощью соответствующего эксплойта злоумышленники могли перехватывать POST-запросы для редактирования суммы внесённых средств.
Исследователь предоставил Valve подробную информацию касательно способа эксплуатации уязвимости, после чего специалисты компании подтвердили наличие проблемы. На данный момент уязвимость уже устранена, а исследователь получил вознаграждение за её обнаружение. Разработчики не сообщили, фиксировались ли случаи использования данной уязвимости на практике или же проблему удалось решить до того, как ей смогли воспользоваться злоумышленники.