V社近日在一名网络安全研究人员的帮助下,发现并修复了一个可以刷Steam钱包余额的漏洞,V社也对该人员进行了奖励。这个漏洞将帐户的电子邮件地址更改为包含“amount100”的地址,然后截取发送给支付公司的API,就可以把Steam钱包里的余额变为100美元。
余额可以变成你写的数
该漏洞是由Drbrix发布在漏洞捕捉平台HackerOne上的,Drbrix起先将该漏洞标为“中等”等级,并表示“我认为该漏洞的影响是非常明显的,攻击者可以直接赚到钱并打破正常的Steam市场,廉价出手游戏密钥等。”
V社也是非常的实诚,在测试并修复漏洞后,将该漏洞的等级提到了“严重”,并且将要支付的赏金金额提高到了7500美元。
V社表示:“感谢报告这个Bug的人,让我们能够及时与支付供应商合作解决这些问题,没有对客户造成影响。”
HackerOne是一家专门收集网络Bug并向上报Bug的黑客支付赏金的网站,总部位于旧金山,到去年9月他们支付的总赏金金额已超过1亿美元。
责任编辑:未知
单机