Steam这么大的一个游戏平台也是免不了存在一些漏洞的,像很久之前的游戏金额比正常低很多这种漏洞。借这些漏洞薅G胖羊毛的也不在少数。而近期漏洞赏金平台Hackerone上的一位安全研究员又提交了一个玩家们晚一步发现的漏洞,这个漏洞可以让玩家在Steam上无限获得资金,而发现这一漏洞的玩家也获得了7500美元的奖励。玩家们纷纷感叹来晚了啊!
Hackerone是一个将V社等公司与那些喜欢对网站、应用和其他软件进行黑客操作的用户联系起来的网站。这些人可以私下向公司提交漏洞,作为交换,这些科技公司将给予黑客奖励。这是一个在恶意软件上市前帮助其粉碎的系统。
在8月9日,Hackerone用户Drbrix私下警告V社Steam钱包的漏洞,包括更改电子邮件地址和拦截使用任何Smart2Pay支付方式的交易。你可以通过Hackerone报告了解攻击的完整方法和工作原理,该报告于8月10日公开。
Drbrix在他的Hackerone报告中写道:“我认为这种影响是显而易见的,攻击者可以创造金钱并破坏Steam市场,低价出售游戏兑换码等等。”
正如你想的那样,V社很快回应了Drbrix的帖子。一位名叫JonP的V社雇员感谢了Drbrix的发现,他解释道:V社已经迅速验证了他的报告,并正在采取措施解决这个问题。JonP的后续消息称该报告“写得很清楚”,“有助于识别真正的业务风险”。
V社随后向Drbrix支付了7500美元作为奖励,这是一笔不小的金额,但似乎还不够。如果这一漏洞被公开或被小部分人利用,那么V社的损失将远远高于7500美元。去年,拳头为发现《瓦罗兰特》漏洞的人提供了10万美元的奖励。
得知这一消息的玩家们纷纷感叹下一个漏洞先给我留着!随着这些漏洞一个个被修复,相信Steam也会越来越完善。