Valve paie 7 500 $ au chercheur pour avoir découvert un exploit qui pourrait ajouter des fonds illimités aux portefeuilles Steam

Valve Paie 7 500 $ Au Chercheur Pour Avoir Découvert

Pourquoi c’est important : un exploit qui permettait à quelqu’un d’ajouter des fonds illimités à son compte Steam a été corrigé. Pour avoir découvert le bug, qui aurait pu coûter une fortune à l’entreprise, Valve a payé 7 500 $ au chercheur en sécurité qui l’a identifié.

Tel que rapporté par The Daily Swig, un chercheur en sécurité avec le nom d’utilisateur « drbrix » a signalé l’exploit à Hackerone, une plate-forme de prime aux bugs qui relie les personnes qui trouvent ces bugs aux entreprises qui ont créé le logiciel. Il permet aux seconds de récompenser les premiers pour avoir identifié les problèmes avant qu’ils ne puissent être exploités par des criminels.

drbrix a alerté Valve de l’exploit le 9 août. Cela a fonctionné en modifiant l’adresse e-mail d’un compte Steam pour inclure « amount100 » et en interceptant la demande POST pour les transactions utilisant le mode de paiement Smart2Pay pour modifier le montant de, disons, 1 $ à 100 $.

« Je pense que l’impact est assez évident, l’attaquant peut générer de l’argent et casser le marché Steam, vendre des clés de jeu à bas prix, etc. », a écrit drbrix dans son rapport Hackerone.

1627642647 502 Steam Client Beta comprend une page de telechargements remaniee une

Un employé de Valve appelé JonP a remercié drbrix et a déclaré que Valve avait « validé que cela se passait à peu près comme décrit ».

« Merci pour ce rapport », a déclaré JonP. « Ceci a été clairement écrit et utile pour identifier un risque commercial réel. Nous avons modifié l’évaluation de la gravité en Critique, reflétant le coût potentiel pour l’entreprise, et avons appliqué une prime en conséquence. Nous espérons avoir plus de nouvelles de vous à l’avenir. »

Valve n’a jamais dit si quelqu’un avait utilisé l’exploit avant qu’il ne soit corrigé.

drbrix a reçu 7 500 $ pour ses problèmes. À titre de comparaison, le paiement moyen de Microsoft sur tous ses programmes de primes de bugs au cours des 12 derniers mois était d’un peu plus de 10 000 $, tandis que le plus gros prix était de 200 000 $.

Dans d’autres nouvelles de Valve, la société a récemment mis à jour sa chaîne YouTube officielle pour la première fois en huit mois avec une publicité pour Steam Deck.