Yazılım dünyasının büyük oyuncuları dahi zaman zaman önemli güvenlik sorunlarına konuk olabiliyor. Steam, sahte bakiye açığı ile kullanıcıların bir anlamda sınırsız bakiye yükleyebilmesine olanak sunan bir açığı fark eden güvenlik uzmanını ödüllendirdi.
İlginizi Çekebilir: Steam Deck Oyunları Kaç FPS’te Oynatacak?
Steam Sahte Bakiye Açığı Sorununu Bulan Güvenlik Uzmanına Ödül Verdi!
Söz konusu istismar, 1 USD tutarındaki bir ödemeyi 100 USD olarak değiştirmeyi başaran temel bir güvenlik sorununu kapsıyor. Güvenlik uzmanı e-postaya ‘amount100’ içeren bir terim eklediğinde ve bunu ödeme şirketinin API’sine gönderdiğinde, 1 USD tutarındaki ödemenin ardından 100 USD tutarında bakiye elde etmeyi başardı.
Buradaki temel yaklaşım, ödemenin 1 USD ya da daha az tutarda olmasıdır. Bu sayede kötü niyetli kullanıcılar söz konusu açıktan faydalanabiliyordu.
Drbrix tarafından HackerOne üzerinden açılan sorun bildirimi, başlangıçta ‘Orta Öncelikli’ olarak değerlendirildi ve işleme alındı. Valve yetkilileri konu hakkında yaptıkları incelemeden sonra sorunu ‘Kritik’ olarak revize etti ve sorunu bulan güvenlik uzmanına 7.500 USD tutarında bir ödül ödemesi yaptı.
Yetkililer güvenlik uzmanına teşekkür ederek, “Gelecekte (sizden) daha fazlasını duymayı umuyoruz.” dedi.
Ayrıca konu hakkında açıklamalarda bulunan bir yetkili, “Hatayı bildiren kişi sayesinde sorunu çözmek için ödeme sağlayıcısı ile birlikte çalıştık.” ifadelerini kullandı.
Şirket, bugüne kadar söz konusu açıktan faydalanan birilerinin olup olmadığı konusunda ise herhangi bir açıklamada bulunmadı.