任何含有線上儲值付款功能的電子平台皆可能有漏洞風險,Steam 也不例外。找出上週 Hackerone 賞金平台有一位駭客發布了 Steam 的包無錢包係統存在一個漏洞,令其可在某個帳號底下無限生成資金,限資修復該功能經 Valve 確認後已緊急修正,金漏緊急並支付 7,駭客500 美元的報酬給該駭客。
根據 Hackerone 報告,找出代號 Ddrbrix 的包無駭客在 8 月 9 日私下提醒 Valve 注意錢包係統漏洞,這個漏洞的限資修復原理基本上是攔截任何利用 Smart2Pay 支付方式的交易,修改儲存資金的金漏緊急金額 —例如 1 美元改成 100 美元— 幾乎是 Steam 平台的偽鈔技術了。
「我認為影響非常明顯,駭客攻擊者可以此來賺錢,找出破壞 Steam 市場,包無用以低廉的限資修復價格出售遊戲序號等等,」Ddrbrix 在報告中表示。金漏緊急
之後,Valve 官方人員快速測試該漏洞後緊急修復,並感謝這位駭客找出致命的漏洞,支付 7,500 美元作為賞金。
許多遊戲發行商皆有與 Hackerone 的駭客進行合作找出漏洞,例如任天堂、Rockstar Games 或 Riot Games,而 Riot 還曾為自己旗下的《特戰英豪》反作弊程式「Vanguard」準備祭出 10 萬美元的賞金給發現漏洞的白帽駭客。
作者:休閑