任何含有線上儲值付款功能的電子平台皆可能有漏洞風險,Steam 也不例外。上週 Hackerone 賞金平台有一位駭客發布了 Steam 的錢包系統存在一個漏洞,令其可在某個帳號底下無限生成資金,該功能經 Valve 確認後已緊急修正,並支付 7,500 美元的報酬給該駭客。
根據 Hackerone 報告,代號 Ddrbrix 的駭客在 8 月 9 日私下提醒 Valve 注意錢包系統漏洞,這個漏洞的原理基本上是攔截任何利用 Smart2Pay 支付方式的交易,修改儲存資金的金額 —例如 1 美元改成 100 美元— 幾乎是 Steam 平台的偽鈔技術了。
「我認為影響非常明顯,攻擊者可以此來賺錢,破壞 Steam 市場,用以低廉的價格出售遊戲序號等等,」Ddrbrix 在報告中表示。
之後,Valve 官方人員快速測試該漏洞後緊急修復,並感謝這位駭客找出致命的漏洞,支付 7,500 美元作為賞金。
許多遊戲發行商皆有與 Hackerone 的駭客進行合作找出漏洞,例如任天堂、Rockstar Games 或 Riot Games,而 Riot 還曾為自己旗下的《特戰英豪》反作弊程式「Vanguard」準備祭出 10 萬美元的賞金給發現漏洞的白帽駭客。