V社修復Steam刷錢漏洞 並給了報錯的駭客7500美元

近日Valve在一名網路安全研究人員的幫助下，發現並修復了一個可以刷Steam錢包餘額的漏洞。

漏洞是這樣的：將帳戶的電子郵件網址更改為包含「amount100」的網址，然後截取發送給支付公司的API，就可以把Steam錢包里的餘額變為100美元。

該漏洞是由Drbrix發表在漏洞捕捉平台HackerOne上的，Drbrix起先將該漏洞標為「中等」等級，並表示「我認為該漏洞的影響是非常明顯的，攻擊者可以直接賺到錢並打破正常的Steam市場，廉價出手遊戲密鑰等。」

V社也是非常的實誠，在測試並修復漏洞後，將該漏洞的等級提到了「嚴重」，並且將要支付的賞金金額提高到了7500美元。

V社表示：「感謝報告這個Bug的人，讓我們能夠即時與支付供應商合作解決這些問題，沒有對客戶造成影響。」

HackerOne是一家專門收集網路Bug並向上報Bug的駭客支付賞金的網站，總部位於舊金山，到去年9月他們支付的總賞金金額已超過1億美元。