Dünyanın en popüler dijital oyun platformu olan Steam sık sık güncelleniyor. Özellikle internette bu güncellemeler ile ilgili birçok meme görmüşsünüzdür. Aslında bu güncellemelerin gereksiz olmadığı ortada. Kısa süre önce ortadan kaldırılan bir Steam açığı sizi zengin edebilirdi.
Steam’deki açık cüzdandaki paranızı istediğiniz gibi ayarlamanızı sağlıyordu
Araştırmacı “drbrix”, HackerOne aracılığıyla söz konusu Steam açığını Valve’e bildirdi ve saldırganların Steam cüzdanındaki parayı dilediği gibi değiştirmesini sağlayan güvenlik açığını bulduğunu belirtti. Drbrix, herhangi bir saldırganın öncelikle “amount100” terimini içeren e-postayı Steam hesaplarına bağlaması gerektiğini ve bunu takiben, Smart2Pay kullanan herhangi bir ödemeyi seçerek cüzdanlarına normal şekilde para ekleyemeye devam edebilecekleri bir açık keşfetti.
Smart2Pay aracılığıyla yapılan ödemeler 1 dolardan az olmalı, çünkü bu açığı kullanan herkes POST isteğini (Sunucuya gönderilen veri) durdurabilir ve ödeme tutarını değiştirebilir. Valve‘den JonP, drbrix’e teşekkür etti. Valve’e bildirilen açık geliştirici ekip tarafından kontrol edildikten sonra düzeltildi. Şirket, drbrix’e yardımından dolayı 7500 dolar ödül verdi ve bildirilen sorunu orta dereceden kritik seviyeye yükseltti.
JonP, “Rapor için teşekkürler. Bu, açıkça yazılmış rapor, ortaya çıkabilecek ciddi problemlerin belirlenmesinde yardımcı oldu. Problemin risk seviyesini, işin potansiyel maliyetini yansıtarak orta dereceden kritik seviyeye çıkardık ve buna göre bir ödül uyguladık. Gelecekte sizden daha fazla geri bildirim almayı umuyoruz” dedi. Sorun ne kadar çözülse de yüzde 100 güvenliğin mümkün olmadığını Valve de biliyor. Bu yüzden problemin risk seviyesini kritik‘e çıkardılar.
Söz konusu açığın daha önce bilgisayar korsanları tarafından kötüye kullanılıp kullanılmadığı bilinmiyor. Valve bu konuda bir bilgi paylaşmadı.