Polski haker zainkasował 7500 dolarów za błąd przelewów do portfela Steam. Ile mogła stracić platforma dla graczy?

Steam to znana i lubiana przez graczy platforma zakupowa. Ogromna biblioteka gier na PC oraz doskonałe promocje sprawiają, że zasilenie konta jest dla czynnością wykonywaną razem z oplatami za Internet. Możliwości szybkich płatności jest kilka, a pośrednik w postaci systemu Smart2Pay, nieodzowny. Okazuje się, że miał on dla graczy promocję tak kosmiczną, że wszystkie pomysły marketingu Steam mogły się schować.

Na czym polegał błąd zasileń konta Steam przez system Smart2Pay?

Lukę w komunikacji systemu Smart2Pay z potfelem Steam znalazł haker DrBrix. Potrzebne  jest konto e-mail z loginem zawierającym ciąg amount100 i przechwycenie żądania POST do API systemu Smart2Pay. Polecenie można modyfikować w sposób, który diametralnie zmienia kwotę umieszczoną w portfelu Steam. Staje się ona wyższa, niż ta, którą obciążamy swoje konto bankowe.

 Wskazanie probemu w raporcie zgłoszonym przez DrBrix

W ten sposób 1 jest warte na Steam dowolną kwotę. Jeśli wpłata zostanie wykonana w odpowiednio wartościowej walucie, można zdobyć w sklepie z grami naprawdę dużo dobra za kompletny bezcen. 

Ile stracił Steam?

Na portalu HackerOne zgłoszenie autorstwa DrBrix szybko uzyskało status krytycznego, a Valve (właściciel witryny Steam) nagrodził go kwotą 7 500 dolarów.

 Fragment raportu o błędzie z komentarzem Valve (właściela Steam)

Nie wiadomo czy błąd był wykorzystywany przez użytkowników i jeśli tak, to czy był to proceder powszechny. Gdyby się tak stało, mógł kosztować Steam dziesiątki tysięcy dolarów, a wielu komentatorów wspomina nawet o milionach. Valve upubliczniło zgłoszenie dopiero po naniesieniu odpowiednich poprawek i nie udzieliło dodatkowego komentarza.

Aktualnie żądanie POST można edytować, ale wprowadzone zmiany nie mają wpływu na relację pomiędzy kwotą wpłaconą a tą, która użytkownik ma dostępną na zakupy.

Co wiadomo o DrBrix ?

O DrBrix z pewnością wiadomo tylko tyle, ile można wyczytać z raportu. Jeśli trafił na Przelewy24, musi przebywać w Polsce. Jest to metoda płatności, ktorą wykorzystuje Smart2Pay na portalu Steam i jest dostępna tylko w naszym kraju.

Początek i podsumowanie raportu DrBrix

Choć wydaje się naturalne, że DrBrix musi być też graczem, to nie wiadomo jakie tytuły poleca. Platforma HackerOne, na której DrBrix pojawia się od 2017 roku, zrzesza społeczność zainteresowaną zupełnie innym rodzajem wirtualnych rozrywek.

Źródło: HackerOne

Sprostowanie:

Na prośbę marki Przelewy24 z artykułu zostało usunięte wskazanie jej w tytule oraz fragmencie tekstu. Sugerowało ono, że błąd na który trafił DrBrix pojawiał się po stronie uslugi Przelewy24. Haker rzeczywiście wyłapał go decydując się na skorzystanie z uslugi Przelewy24, ale występował na poziomie usługi bardziej powszechnej: komuniakcji portfela Steam z API systemu Smart2Pay. 

Jak czytamy w raporcie DrBrix:"Proceed to payment and select any payment which uses Smart2Pay payment method (przelewy24 in my country)". Jednak mylenie usługi Smart2Pay i Przelewy24 jest krzywdzące dla marki Przelewy24. Oferuje ona bezpieczną metodę płatności i z zaistniałą sytuacją nie miała nic wspólnego. 

Katarzyna Rutkowska