Et smutthull gjorde det mulig å fylle uendelig med penger i Steam-lommeboka
(Foto: Skjermdump, Gamer.no)

Steam - Sikkerhetshull

Et smutthull gjorde det mulig å fylle uendelig med penger i Steam-lommeboka

Spilleren som fant smutthullet fikk finnerlønn fra Valve på over 65 000 kroner.

Av og til lønner det seg å snuse litt bak panseret på diverse tjenester. Det fant en sikkerhetsekspert som går under aliaset «drbrix» ut da de fant et smutthull hos Steam som gjorde det mulig å stappe uendelig med penger inn i Steam-lommeboka. Dette melder The Daily Swig.

Etter at han meldte inn feilen gjennom dusørjegertjenesten HackerOne, der man kan rapportere inn sikkerhetshull av denne typen, fikk de kjapt en dusør fra Valve på litt over 65 000 kroner. 

Feilen gjorde det mulig for spillere som hadde verdien «amount100» i e-postadressen sin å snappe opp betalinger som ble gjort gjennom Smart2Pay, og slenge på ekstra med liksompenger der. Valve var kjappe på ballen etter innraporteringen, og har nå tatt grep. 

Valve nevnte derimot ikke om noen hadde rukket å benytte seg av smutthullet før de tettet det. De oppskallerte likevel alvorsgraden av innrapporteringen fra «medium» til «kritisk» før de sendte ut dusøren.

– Takk for rapporten. Dette var tydelig skrevet og hjalp oss med å identifisere en businessrisiko. Vi har økt graderingen til «kritisk» for å gjenspeile den potensielle kostnaden det kunne medført, og har gitt ut en dusør i tråd med dette. Vi håper å høre mer fra deg i fremtiden, skriver Valve-representant «JonP» i et svar på rapporten. 

Dette er ikke første gang Steam har gitt ut dusør av denne typen. 
I 2018 ga Valve ut 160 000 kroner til en person som fant sikkerhetshull i Steam »

Kommentarer (0)

Forsiden akkurat nå

Til toppen