Biztonsági rést javított ki a Steames pénztárcánkban a Valve!

TECH HÍREK – Egy biztonsági kutató fedezte fel a Valve rendszerében a veszélyes rést, és jutalmat is kapott érte Gabe Newell cégétől.

 

A Valve egy olyan hibát javított ki, ami elég súlyosan megkurtíthatta volna a cég bevételeit, ha erről többen tudtak volna, ugyanis a hiba a Steam wallet, magyarul az ottani digitális egyenleg meghamisítására vonatkozott. Például, ha egyetlen dollárt tettünk be valójában az ottani pénztárcánkba, a rendszer ezt felismerhette volna százszor annyiként, így a valójában 300 forintnyi befektetésünkért 30 ezer forintnyi értékben vásárolhattunk volna a platformon. Ez pedig nagyobb tételben veszélyes lett volna a Valve-nak, főleg úgy, hogy ők mostanában nem kevés pénzt döntöttek bele a Steam Deck létrehozásába…

De hogyan is valósulhatott meg ez a biztonsági rés? Itt jön be a képbe az amúgy elképesztőnek ható hiba. A lényeg az volt, hogy olyan email-címet alkalmazzon az elkövető, aminek azonosítójában „amount100” volt. és ezután a fizetésre használt API-nak (Smart2Pay) küldött üzenetet kellett elfogni. Ezzel pedig hamisítani lehetett a kasszánkon.

Erről aztán a HackerOne-on lehetett olvasni. Nem kell megijedni, ez egy olyan site, ahol a white-hat hackerek (magyarul etikus hackerek, akik felfedezik a biztonsági réseket, majd tájékoztatják az érintett feleket erről) akár pénzt is kaphatnak a felfedezésükért. (Magyarországon pedig inkább büntetnek, lásd a BKV-jegyes ügyet…) Drbrix volt az, aki felfedezte a hibát a Valve rendszerén, és Newellék meg is jutalmazták érte őt.

Drbrix először közepesen súlyosnak megjelölve tette közzé a hibát azzal a kommenttel, hogy a hatás egyértelmű, hiszen a támadó pénzt generálhat magának, amivel megtörheti a Steam piacot, és az innen szerzett játékkulcsokat olcsón értékesítheti (ez pedig már felveti a szürke, vagy a biztonsági rés miatt fekete piac kérdéskörét…). A Valve letesztelte a hibát, majd egy javítást is ellenőrzött, amivel a hibát súlyosnak jeltölte meg, majd 7500 dollárt (két és negyed millió forintot) fizetett az etikus hackernek, ugyanis „az üzletük lehetséges költségeit” így akarták tükrözni.

A Valve a The Daily Swignek azt nyilatkozta, hogy Drbrix révén képesek voltak úgy kijavítani a hibát, hogy eközben a fogyasztókat semmilyen veszély/kár/hatás nem érte. Azt nem mondták, hogy volt-e, aki tényleg kihasználta a biztonsági rést…

Forrás: PCGamer

Spread the love
Avatar photo
Anikó, our news editor and communication manager, is more interested in the business side of the gaming industry. She worked at banks, and she has a vast knowledge of business life. Still, she likes puzzle and story-oriented games, like Sherlock Holmes: Crimes & Punishments, which is her favourite title. She also played The Sims 3, but after accidentally killing a whole sim family, swore not to play it again. (For our office address, email and phone number check out our IMPRESSUM)

Kiemelt partnerünk: www.konzolkirály.hu