Пользователь hackerone обнаружил потенциально дорогой трюк, который повлек за собой изменение адреса электронной почты.
На Hackerone исследователь безопасности недавно опубликовал эксплойт, который может быть использован для получения неограниченных средств в Steam. С тех пор Valve исправила проблему, и пользователь, который ее идентифицировал, получил 7500 долларов от корпорации.
Hackerone - это сервис, который связывает такие корпорации, как Valve, с людьми, которым нравится взламывать веб-сайты, приложения и другое программное обеспечение. Эти люди могут тайно сообщать об эксплойтах и взломах организациям, а взамен эти компании могут платить хакерам за их открытия. Это технология, которая имеет историю предотвращения вредоносных эксплойтов до того, как они будут обнародованы.
Drbrix, пользователь Hackerone, анонимно предупредил Valve 9 августа об атаке на кошелек Steam, которая повлекла за собой изменение вашего адреса электронной почты и перехват транзакций с использованием любого платежного механизма Smart2Pay. Отчет Hackerone, который стал достоянием общественности 1 августа и был подхвачен The Daily Swig и NME несколько дней спустя, подробно описывает весь метод нападения и то, как он работает.
Drbrix написал в своем отчете Hackerone: «Я полагаю, что влияние очень очевидно, злоумышленник может создавать деньги и разрушать рынок Steam, продавать игровые ключи по дешевке и т. д.».
Valve, как и следовало ожидать, оперативно отреагировала на статью Drbrix. JonP, сотрудник Valve на сайте, поздравил Drbrix с открытием и указал, что Valve быстро проверила их выводы и работает над решением проблемы. Согласно последующему сообщению JonP, отчет был «четко написан» и «полезен для выявления истинного бизнес-риска».
Затем Drbrix получил компенсацию в размере 7500 долларов от Valve, что здорово, но недостаточно. Valve могла бы заплатить намного больше, чем 7500 долларов, если бы этот эксплойт стал достоянием общественности или был передан нескольким небольшим группам лиц. В прошлом году Riot предложил 100 000 долларов любому, кто сможет найти эксплойты для Valorant.
