autor: Ignacy Ziarkiewicz
Polak wykrył błąd w systemie płatności Steama, w nagrodę otrzymał ponad 29 tys. zł
Polski specjalista do spraw bezpieczeństwa wykrył lukę w systemie płatności Steama i w nagrodę otrzymał kilka tysięcy dolarów.
Ze Steama korzystają miliony użytkowników, więc jego działanie musi być odpowiednio zabezpieczone. Dlatego gdy pochodzący z Polski użytkownik drbrix na portalu HackerOne zgłosił błąd, który znalazł w systemie płatności Valve’a, w nagrodę firma zapłaciła mu 7,5 tys. dolarów, czyli trochę ponad 29 tys. zł.
Luka polegała na tym, że gdy użytkownik Steama miał maila zawierającego w sobie frazę „amount100”, to korzystając z systemu płatności Smart2Pay (w Polsce Przelewy24), przez odpowiednie manipulowanie stroną mógł wpłacić na swoje konto jednego dolara, by otrzymać o wiele więcej, np. aż 100 dolarów. Zagrożenie było poważne - przez tę lukę nieuczciwi użytkownicy mogliby niemal za darmo kupować gry i sprzedawać je za większe pieniądze. Jeśli ciekawi Was dokładny sposób działania błędu, wszystko rozpisane po polsku znajdziecie tutaj.
Valve szybko zajęło się tą sprawą i tego samego dnia skontaktowało się z drbrix’em. Po krótkiej wymianie zdań z Polakiem pracownik firmy napisał, że dostarczone przez niego informacje pomogły zidentyfikować realne biznesowe zagrożenie, dlatego też przyznają mu odpowiednią pieniężną nagrodę.
Dziennikarz z portalu The Daily Swig napisał do Valve i spytał o sytuację. W odpowiedzi przedstawiciel włodarzy Steama stwierdził, że dzięki osobie, która zgłosiła błąd, firma wraz z dostawcą usług płatności mogła rozwiązać problem, nie stwarzając niedogodności dla klientów.
Naszemu rodakowi należy się duża pochwała - gratulujemy przyznanej nagrody.