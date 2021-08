Krytyczny błąd Steama pozwalał na prawie darmowe doładowania konta. Luka została odkryta przez Polaka, który został nagrodzony przez Valve kwotą niemal 30 tys. złotych.

Niemal darmowe doładowania Steama to zapewne marzenie każdego gracza. Gry przecież nie są dzisiaj tanie i możliwość kupowania ich po dużo niższej cenie lub całkowicie za darmo brzmi szalenie interesująco i kusząco. No to musicie wiedzieć, że na Steamie był błąd, który mniej więcej na to właśnie pozwalał. Wpłacając zaledwie 1 dolara, można było wzbogacić swoje konto o dużo większą kwotę. Błąd został odkryty przez Polaka.

Polak odkrył krytyczny błąd na Steam

Dokładne opisanie luki jest mocno skomplikowane. Musicie wiedzieć, że proces sprowadzał się do zmiany adresu e-mail na Steamie, aby zawierał on sformułowanie "amount100". Następnie należało wybrać płatności Smart2Pay (Przelewy24), a później przechwycić żądanie POST i poczynić dalsze modyfikacje (cały proces możecie poznać za sprawą strony Sekurak.pl). Finalnie, wpłacając 1 dolara, można było zwiększyć swoje saldo o dużo wyższą kwotę. Konsekwencje są dość oczywiste, bowiem pozwalają z jednej strony na zdobywanie gier niemal za darmo, a z drugiej zarabianie pieniędzy przez sprzedaż wybranych tytułów. Luka została odkryta przez Polaka o pseudonimie drbrix. Problem został opisany na forum HackerOne.

Dzięki osobie, która zgłosiła ten błąd, mogliśmy współpracować z dostawcą usług płatniczych w celu rozwiązania problemu bez wpływu na naszych klientów.

- powiedział rzecznik Steama.

Valve okazał wdzięczność i nagrodził Polaka kwotą 7500 dolarów. Wiele osób uważa jednak, że to zdecydowanie zbyt mała kwota za odkrycie tak krytycznego błędu.

