Steam : Valve a payé 7 500 $ un chercheur pour avoir découvert un exploit permettant d’ajouter des fonds illimités au portefeuille

Par

le

Valve a versé 7500 dollars à un chercheur qui a découvert un exploit permettant d’ajouter des fonds illimités à son portefeuille.

Un exploit qui permettait à quelqu’un d’ajouter des fonds illimités à son compte Steam a été corrigé. Pour avoir découvert le bogue, qui aurait pu coûter une fortune à l’entreprise, Valve a payé 7 500 $ au chercheur en sécurité qui l’a identifié.

Tel que rapporté par The Daily Swig, un chercheur en sécurité avec le nom d’utilisateur « drbrix » a signalé l’exploit à Hackerone, une plate-forme de prime aux bogues qui relie les personnes qui trouvent ces bogues aux entreprises qui ont créé le logiciel. Il permet aux seconds de récompenser les premiers pour avoir identifié les problèmes avant qu’ils ne puissent être exploités par des criminels.

drbrix a alerté Valve de l’exploit le 9 août. Cela a fonctionné en modifiant l’adresse e-mail d’un compte Steam pour inclure « amount100 » et en interceptant la demande POST pour les transactions utilisant le mode de paiement Smart2Pay pour modifier le montant de, disons, 1 $ à 100 $.

« Je pense que l’impact est assez évident, un hacker peut générer de l’argent et casser le marché de Steam, vendre des clés de jeux pas cher, etc. »
, a écrit drbrix dans son rapport Hackerone.

Un employé de Valve appelé JonP a remercié drbrix et a déclaré que Valve avait « validé que cela se passait à peu près comme décrit ».

« Merci pour ce rapport », a déclaré JonP. « Il était clairement rédigé et a permis d’identifier un risque commercial réel. Nous avons changé l’évaluation de la gravité en Critique, reflétant le coût potentiel pour l’entreprise, et avons appliqué une prime en conséquence. Nous espérons avoir d’autres échos de votre part à l’avenir . »

Valve n’a jamais dit si quelqu’un avait utilisé l’exploit avant qu’il ne soit corrigé.

drbrix a reçu 7 500 $ pour avoir trouvé et rapporté la faille. À titre de comparaison, le paiement moyen de Microsoft sur tous ses programmes de primes de bugs au cours des 12 derniers mois était d’un peu plus de 10 000 $, tandis que le plus gros prix était de 200 000 $.


Articles recommandés