Steam能夠無限充值漏洞發(fā)現(xiàn) 發(fā)現(xiàn)者被獎(jiǎng)勵(lì)上萬元

時(shí)間: 2021-08-16 15:27:18 來源: 聚俠千機(jī) 作者: X劍士

steam、origin、UPlay等游戲平臺(tái)，在很多時(shí)候已經(jīng)成為玩家生活中的一部分了，在這類平臺(tái)上面購買游戲永遠(yuǎn)避免不了事情就是充值服務(wù)，就在前段時(shí)間stam官方收到了一份名為@drbrix 的安全研究者測試報(bào)告。

在報(bào)告當(dāng)中指出現(xiàn)在steam商店當(dāng)中存在巨大的漏洞，這個(gè)漏洞會(huì)造成steam出現(xiàn)巨大損失。

這個(gè)能夠產(chǎn)生巨大破壞力的BUG到底是什么呢？

如果用戶的Steam帳戶電子郵件地址中有“amount100”，則可以攔截并修改通過Smart2Pay進(jìn)行的付款，將1美元的存款更改為100美元，而從銀行帳戶借記的付款保持為1美元，可以空手套白狼，相當(dāng)于無限充值！

Steam能夠無限充值漏洞發(fā)現(xiàn) 發(fā)現(xiàn)者被獎(jiǎng)勵(lì)上萬元

很多玩家聽聞這個(gè)消息之后痛心疾首！感覺錯(cuò)過了一個(gè)億！也有不少網(wǎng)友稱贊了這位安全研究者行為。

要知道如果這個(gè)漏洞賣給任何居心否側(cè)的中介都會(huì)獲得難以想象的巨大利益。

在2017年曾經(jīng)抓捕過一個(gè)犯罪集團(tuán)，此犯罪集團(tuán)就是利用《列王的紛爭》游戲的數(shù)據(jù)包，在其中尋找游戲漏洞，利用其漏洞最終獲利上百萬元。

Steam能夠無限充值漏洞發(fā)現(xiàn) 發(fā)現(xiàn)者被獎(jiǎng)勵(lì)上萬元

一個(gè)名不見經(jīng)傳的小游戲漏洞都能博取上百萬元的利益，更別說steam這種世界級(jí)游戲平臺(tái)可以達(dá)成無限充值的漏洞，所帶來的利益是無法想象的！

所幸現(xiàn)在還沒有無良玩家利用這個(gè)漏洞進(jìn)行牟利，就在當(dāng)天steam官方迅速將漏洞給修復(fù)，并獎(jiǎng)勵(lì)這位研究人員7500美元（折合人民幣48576.75元）。并對(duì)稱贊道："This was clearly written and helpful in identifying a real business risk. We have changed the severity assessment to Critical, reflecting the potential cost to the business, and applied a bounty accordingly. We hope to hear more from you in the future."

百度翻譯：“這顯然是書面的，有助于識(shí)別真正的商業(yè)風(fēng)險(xiǎn)。我們已將嚴(yán)重程度評(píng)估改為危急評(píng)估，反映了業(yè)務(wù)的潛在成本，并相應(yīng)地申請了獎(jiǎng)金。我們希望今后能收到更多你的消息?！?/p>

Steam能夠無限充值漏洞發(fā)現(xiàn) 發(fā)現(xiàn)者被獎(jiǎng)勵(lì)上萬元