Steam’deki açık, az kalsın tüm kullanıcıları güçlü edecekti!
Dünyanın en tanınan dijital oyun platformu olan Steam sık sık güncelleniyor. Bilhassa internette bu güncellemeler ile ilgili birfazlaca göğüs görmüşsünüzdür. Aslında bu güncellemelerin gereksiz olmadığı ortada. Kısa müddet evvel ortadan kaldırılan bir Steam açığı sizi güçlü edebilirdi.
Steam’deki açık cüzdandaki paranızı istediğiniz üzere ayarlamanızı sağlıyordu
Araştırmacı “drbrix”, HackerOne aracılığıyla kelam konusu Steam açığını Valve’e bildirdi ve saldırganların Steam cüzdanındaki parayı dilediği üzere değiştirmesini sağlayan güvenlik açığını bulduğunu belirtti. Drbrix, rastgele bir saldırganın evvela “amount100” terimini içeren e-postayı Steam hesaplarına bağlaması gerektiğini ve bunu takiben, Smart2Pay kullanan rastgele bir ödemeyi seçerek cüzdanlarına olağan biçimde para ekleyemeye devam edebilecekleri bir açık keşfetti.
Smart2Pay aracılığıyla yapılan ödemeler 1 dolardan az olmalı, zira bu açığı kullanan herkes POST isteğini (Sunucuya gönderilen veri) durdurabilir ve ödeme fiyatını değiştirebilir. Valve‘den JonP, drbrix’e teşekkür etti. Valve’e bildirilen açık geliştirici grup tarafınca denetim edildikten daha sonra düzeltildi. Şirket, drbrix’e yardımından dolayı 7500 dolar ödül verdi ve bildirilen sorunu orta dereceden kritik düzeye yükseltti.
JonP, “Rapor için teşekkürler. Bu, açıkça yazılmış rapor, ortaya çıkabilecek önemli sorunların belirlenmesinde yardımcı oldu. Sorunun risk düzeyini, işin potansiyel maliyetini yansıtarak orta dereceden kritik düzeye çıkardık ve buna nazaran bir ödül uyguladık. Gelecekte sizden daha fazla geri bildirim almayı umuyoruz” dedi. Sorun ne kadar çözülse de yüzde 100 güvenliğin mümkün olmadığını Valve de biliyor. Bu yüzden sorunun risk düzeyini kritik‘e çıkardılar.
Kelam konusu açığın daha evvel bilgisayar korsanları tarafınca berbata kullanılıp kullanılmadığı bilinmiyor. Valve bu bahiste bir bilgi paylaşmadı.
Dünyanın en tanınan dijital oyun platformu olan Steam sık sık güncelleniyor. Bilhassa internette bu güncellemeler ile ilgili birfazlaca göğüs görmüşsünüzdür. Aslında bu güncellemelerin gereksiz olmadığı ortada. Kısa müddet evvel ortadan kaldırılan bir Steam açığı sizi güçlü edebilirdi.
Steam’deki açık cüzdandaki paranızı istediğiniz üzere ayarlamanızı sağlıyordu
Araştırmacı “drbrix”, HackerOne aracılığıyla kelam konusu Steam açığını Valve’e bildirdi ve saldırganların Steam cüzdanındaki parayı dilediği üzere değiştirmesini sağlayan güvenlik açığını bulduğunu belirtti. Drbrix, rastgele bir saldırganın evvela “amount100” terimini içeren e-postayı Steam hesaplarına bağlaması gerektiğini ve bunu takiben, Smart2Pay kullanan rastgele bir ödemeyi seçerek cüzdanlarına olağan biçimde para ekleyemeye devam edebilecekleri bir açık keşfetti.
Smart2Pay aracılığıyla yapılan ödemeler 1 dolardan az olmalı, zira bu açığı kullanan herkes POST isteğini (Sunucuya gönderilen veri) durdurabilir ve ödeme fiyatını değiştirebilir. Valve‘den JonP, drbrix’e teşekkür etti. Valve’e bildirilen açık geliştirici grup tarafınca denetim edildikten daha sonra düzeltildi. Şirket, drbrix’e yardımından dolayı 7500 dolar ödül verdi ve bildirilen sorunu orta dereceden kritik düzeye yükseltti.
JonP, “Rapor için teşekkürler. Bu, açıkça yazılmış rapor, ortaya çıkabilecek önemli sorunların belirlenmesinde yardımcı oldu. Sorunun risk düzeyini, işin potansiyel maliyetini yansıtarak orta dereceden kritik düzeye çıkardık ve buna nazaran bir ödül uyguladık. Gelecekte sizden daha fazla geri bildirim almayı umuyoruz” dedi. Sorun ne kadar çözülse de yüzde 100 güvenliğin mümkün olmadığını Valve de biliyor. Bu yüzden sorunun risk düzeyini kritik‘e çıkardılar.
Kelam konusu açığın daha evvel bilgisayar korsanları tarafınca berbata kullanılıp kullanılmadığı bilinmiyor. Valve bu bahiste bir bilgi paylaşmadı.