Valve schließt Lücke für unbegrenztes Guthaben im Steam Wallet
Steam Wallet, Valves Guthaben-System auf dem Spiele-Distributionsnetzwerk, hatte lange Zeit eine Lücke, mit dem man sich - zumindest theoretisch - ein unendliches Guthaben erschwindeln hätte können. Doch ein Sicherheitsforscher fand den Exploit und meldete ihn Valve.
Möglich wurde dies durch das Modifizieren der Mail-Adresse, die mit dem Steam-Konto verknüpft ist, und zwar musste diese den Begriff "amount100" beinhalten. Danach hätte der Angreifer eine Nachricht der API des niederländischen Zahlungsdienstleisters Smart2Pay abfangen müssen, dadurch hätte man dem System vorschwindeln können, dass ein deutlich höherer Betrag eingezahlt wurde, als es tatsächlich der Fall war.
Ob die Schwachstelle tatsächlich je ausgenutzt wurde, ist nicht bekannt, es ist auch nicht klar, wie einfach oder schwer es gewesen wäre, eine erforderliche API-Nachricht abzufangen. Valve jedenfalls bedankte sich und teilte mit: "Dank der Person, die diesen Fehler gemeldet hat, konnten wir mit dem Zahlungsanbieter zusammenarbeiten, um die Probleme ohne Auswirkungen auf die Kunden zu lösen."
Siehe auch:
7500 Dollar "Bug Bounty" für das Melden der Schwachstelle
Ein Sicherheitsforscher mit dem Namen drbrix bekam von Valve für das Melden dieses Bugs ein "Kopfgeld" in Höhe von 7500 Dollar: Diese Schwachstelle für "unbegrenzte Mittel" erlaubte es theoretisch, das Guthaben im Steam Wallet ohne Einschränkungen zu vervielfachen. Wie The Daily Swig (via PC Gamer) berichtet, war es beispielsweise möglich, ein Guthaben von einem Dollar in 100 Dollar zu verwandeln.Möglich wurde dies durch das Modifizieren der Mail-Adresse, die mit dem Steam-Konto verknüpft ist, und zwar musste diese den Begriff "amount100" beinhalten. Danach hätte der Angreifer eine Nachricht der API des niederländischen Zahlungsdienstleisters Smart2Pay abfangen müssen, dadurch hätte man dem System vorschwindeln können, dass ein deutlich höherer Betrag eingezahlt wurde, als es tatsächlich der Fall war.
Kritische Lücke
Der Bug wurde zunächst mit "Medium"-Priorität klassifiziert. Nachdem Valve den potenziellen Exploit getestet hat, wurde er auf "kritisch" hochgestuft und auch der Bug Bounty-Betrag heraufgesetzt. Details zu diesem Exploit-Szenario können Interessierte auf der "White-Hat"-Seite HackerOne finden.Ob die Schwachstelle tatsächlich je ausgenutzt wurde, ist nicht bekannt, es ist auch nicht klar, wie einfach oder schwer es gewesen wäre, eine erforderliche API-Nachricht abzufangen. Valve jedenfalls bedankte sich und teilte mit: "Dank der Person, die diesen Fehler gemeldet hat, konnten wir mit dem Zahlungsanbieter zusammenarbeiten, um die Probleme ohne Auswirkungen auf die Kunden zu lösen."
Siehe auch:
- Valve: Handheld-PC Steam Deck wird bereit für Windows 11 sein
- Valve verteidigt 30-Prozent-Anteil auf Steam als "Branchenstandard"
- Steam Deck: Valve bringt Gaming-PC im Design einer Handheld-Konsole
- Valve macht es schwerer, auf Steam in anderen Regionen einzukaufen
- J.J. Abrams bekräftigt: Verfilmung des Valve-Hits Portal ist nicht tot
Thema:
Beliebte Steam-Downloads
Beiträge zum Thema im Forum
Beliebt im Preisvergleich
- Adventure/RPG:
Weiterführende Links
Neue Nachrichten
- Amazon Prime Day: Die Tages- und Blitzangebote im Vergleich
- Optionales Windows-11-Update mit neuer Wiederherstellung gestartet
- Neue Ikea-Smart-Home-Produkte aufgetaucht - das soll bald kommen
- Preis-Kracher im Vodafone-Netz: 70 GB Allnet-Flat für nur 9,99 Euro
- AMD bestätigt Probleme mit FSR-Treiber 26.6.2 auf vielen Windows-PCs
- Apple startet iOS 27 Beta 2 und zeigt, was Nutzer ab Herbst erwartet
- Samsung Galaxy Z Flip8, Fold8 & Fold8 Ultra: Infos zu Farben & Speicher
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Amazon
Alle Kommentare zu dieser News anzeigen