Valve heeft een beveiligingsonderzoeker beloond met 7500 USD (omgerekend 6357 euro) voor het melden van een ernstige kwetsbaarheid in het betaalsysteem. Door deze bug konden cybercriminelen onbeperkt geld toevoegen aan hun Steam-portemonnee. Het is echter nog onbekend of iemand de kwetsbaarheid al heeft misbruikt.
Via HackerOne meldde onderzoeker 'drbrix' dat ze een exploit had gevonden die hackers in staat stelden om saldo in de virtuele Steam-portemonnee te genereren. De bug, die inmiddels is opgelost, zou spelers met 'amount100' in het geregistreerde e-mailadres van hun Steam-account in staat stellen betalingen via Smart2Pay te onderscheppen.
Na de registratie zouden cybercriminelen door kunnen gaan met het toevoegen van geld aan hun Steam-portemonnee waar ze bij elke betaling Smart2Pay selecteerden als betaalmethode. De opwaardering kon bestaan uit slechts 1 dollar aangezien aanvallers daarna het POST-verzoek (dataverzoek naar de server) onderschepten en het konden bewerken om het daadwerkelijke bedrag te wijzigen.
Smart2Pay heeft nog niet gereageerd op de exploit maar een woordvoerder van Valve heeft gezegd dat dankzij deze melding er samengewerkt is met de betalingsprovider om het probleem op te lossen zonder enige impact op klanten.
Bron: HackerOne
