Steam, un bug permetteva di ottenere fondi infiniti sul portafoglio virtuale

[Barrnet]

Tramite Kotaku è emerso che Valve ha pagato una taglia di 7500 dollari americani ad un ricercatore, che ha scoperto un bug (fortunatamente ora patchato) che poteva portare al tracollo economico della piattaforma. Nel dettaglio il bug in questione permetteva - tramite il cambio della propria email e l'intercettazione delle translazioni effettuate dai metodi di pagamento di Smart2Pay, di generare una quantità praticamente infinita di "moneta virtuale" utilizzata all'interno del negozio di Steam. Questo avrebbe permesso non solo di acquistare praticamente a gratis tutto il catalogo di Steam, ma anche di sfruttare la piattaforma per lucro, come rivendendo giochi di Steam tramite dono, "rompere" il mercato della comunità di Steam ed altre azioni dannose.

La vulnerabilità è stata scoperta dall'utente Drbrix su Hackerone, che ha utilizzato la medesima piattaforma per una divulgazione responsabile a Valve, che riconosciuto il problema ha pagato la taglia, pari a 7500 dollari americani. Una cifra assai ridicola considerando il potenziale danno che avrebbe potuto arrecare alla piattaforma lo sfruttamento di un bug simile o quanti soldi avrebbe potuto fare un hacker (o che magari hanno già fatto, visto la quantità di chiavi presenti nei siti di terze parti) a conoscenza di questa vulnerabilità.

Altre ditte, come Riot Games, hanno pagato in passato taglie ben più alte per problemi largamente minori, come 100'000 dollari americani per un bug riguardante il sistema di matchmaking di Valorant.