蒸汽上的游戏可以非常昂贵,但如果您可以将单一美元转化为无限数量的资金,这不是问题。蒸汽最近奖励了7,500美元的Bult到一个安全的研究员,他们发现了一个有趣,并且可能是非常有利可图的蒸汽钱包中的臭虫。通过利用在线支付公司的API,一个进取的网络犯罪分子可能会扼杀蒸汽,以将理论上无限量的金额添加到用户的账户中。
该信息来自高度技术报告Hackerone, 通过每日SWIG.。安全研究员“Drbrix”概述了他的所有发现,并恰恰披露如何利用该错误。(对于那些希望复制诀窍的人,不要打扰;根据Hackerone线程的评论,蒸汽在存在的几周前淘汰了它。)
- 播放最好的电脑游戏
- 也试试最佳免费电脑游戏
- 加:在巴黎围攻后,我想我已经完成了刺客的信条
简而言之,这是缺陷的工作方式:首先,用户将打开他或她的蒸汽钱包,并添加付款方式。一种可能的方法是荷兰在线支付公司,称为Smart2Pay。通过直接修改Smart2Pay API,DRBRIX发现他可以在制定任何形式的合法存款后编辑付款金额。换句话说:他可以支付1美元到Smart2Pay,然后说服他已经向他的账户增加了100美元。
显然,100美元就像修改要求一样高,但这意味着您可以基本上以6美元的价格购买10个全新的全价格游戏。这并不难看看这个缺陷如何创造了很多恶作剧,有没有人在野外利用它。
好消息是,似乎没有人利用这个漏洞,drbrix在测试的时候除外。更好的消息是,用户不需要做任何特别的事情来修复它;而漏洞就在Valve这边。目前还不清楚Smart2Pay是否也修补了它的API,但也不清楚是否有必要修补。
为了他的努力,DrBrix从Steam获得了7,500美元的Bug,其中一个阀门代表被称为“真正的商业风险”在黑客音符评论中。
虽然日常用户需要担心这里,但该故事确实是公司如何在实时软件中解决缺陷的最佳情况。研究人员发现了一个缺陷,通过正确的渠道报告,并为他的努力接受了慷慨的赏金。阀门确认问题并立即修补。有更多的噩梦方式这可能已经消失了。
至于您自己的蒸汽钱包,通常在此处申请。蒸汽和PayPal都提供双因素身份验证,您应该雇用两者。虽然您将无法达到100美元的价格,但您可以利用频繁的蒸汽销售获得相对较少的钱的主要标题。
