知道晚了 V社封堵了无限获取Steam钱包资金的漏洞

漏洞赏金平台Hackerone上的一位安全研究员最近提交了一个漏洞，该漏洞可以让用户在Steam上无限获得资金。目前该漏洞已被V社修复，发现该漏洞的用户获得了7500美元的奖励。

Hackerone是一个将V社等公司与那些喜欢对网站、应用和其他软件进行黑客操作的用户联系起来的网站。这些人可以私下向公司提交漏洞，作为交换，这些科技公司将给予黑客奖励。这是一个在恶意软件上市前帮助其粉碎的系统。

在8月9日，Hackerone用户Drbrix私下警告V社Steam钱包的漏洞，包括更改电子邮件地址和拦截使用任何Smart2Pay支付方式的交易。你可以通过Hackerone报告了解攻击的完整方法和工作原理，该报告于8月10日公开。

Drbrix在他的Hackerone报告中写道：“我认为这种影响是显而易见的，攻击者可以创造金钱并破坏Steam市场，低价出售游戏兑换码等等。”

正如你想的那样，V社很快回应了Drbrix的帖子。一位名叫JonP的V社雇员感谢了Drbrix的发现，他解释道：V社已经迅速验证了他的报告，并正在采取措施解决这个问题。JonP的后续消息称该报告“写得很清楚”，“有助于识别真正的业务风险”。

V社随后向Drbrix支付了7500美元作为奖励，这是一笔不小的金额，但似乎还不够。如果这一漏洞被公开或被小部分人利用，那么V社的损失将远远高于7500美元。去年，拳头为发现《瓦罗兰特》漏洞的人提供了10万美元的奖励。