想着自己钱包余额可以随时由自己更改是不少人或多或少幻想过的事,但是如今这件事情却真实发生在了Steam钱包余额中!有网友发现Steam钱包可以篡改余额1美元变100美元。
id为drbrix的网友在bug悬赏网站HackerOne上提交了一个有关Steam钱包的漏洞。通过该漏洞,玩家可以将自己的邮箱地址改成包含“amount100”字符的样式,并随后截取发往支付公司的API以达到篡改充值订单金额的目的——可以从1美元改成100美元!
drbrix认为这个bug的影响非常明显,因为黑客可以通过这个漏洞大量出售各类游戏激活码或扰乱Steam市场。在经过测试和修复后,Valve将该bug评定为“严重”等级并向drbrix支付了7500美元的赏金。目前V社并没有说明是否有人真的使用了这个漏洞。
