Valve schließt Lücke für unbegrenztes Guthaben im Steam Wallet

Steam Wallet, Valves Guthaben-System auf dem Spiele-Dis­tri­bu­ti­ons­netz­werk, hatte lange Zeit eine Lücke, mit dem man sich - zumindest theoretisch - ein unendliches Guthaben erschwindeln hätte können. Doch ein Sicherheitsforscher fand den Exploit und meldete ihn Valve.

7500 Dollar "Bug Bounty" für das Melden der Schwachstelle

Ein Sicherheitsforscher mit dem Namen drbrix bekam von Valve für das Melden dieses Bugs ein "Kopfgeld" in Höhe von 7500 Dollar: Diese Schwachstelle für "unbegrenzte Mittel" erlaubte es theoretisch, das Guthaben im Steam Wallet ohne Einschränkungen zu vervielfachen. Wie The Daily Swig (via PC Gamer) berichtet, war es beispielsweise möglich, ein Guthaben von einem Dollar in 100 Dollar zu verwandeln.

Möglich wurde dies durch das Modifizieren der Mail-Adresse, die mit dem Steam-Konto verknüpft ist, und zwar musste diese den Begriff "amount100" beinhalten. Danach hätte der Angreifer eine Nachricht der API des niederländischen Zahlungsdienstleisters Smart2Pay abfangen müssen, dadurch hätte man dem System vorschwindeln können, dass ein deutlich höherer Betrag eingezahlt wurde, als es tatsächlich der Fall war.

Kritische Lücke

Der Bug wurde zunächst mit "Medium"-Priorität klassifiziert. Nachdem Valve den potenziellen Exploit getestet hat, wurde er auf "kritisch" hochgestuft und auch der Bug Bounty-Betrag heraufgesetzt. Details zu diesem Exploit-Szenario können Interessierte auf der "White-Hat"-Seite HackerOne finden.

Ob die Schwachstelle tatsächlich je ausgenutzt wurde, ist nicht bekannt, es ist auch nicht klar, wie einfach oder schwer es gewesen wäre, eine erforderliche API-Nachricht abzufangen. Valve jedenfalls bedankte sich und teilte mit: "Dank der Person, die diesen Fehler gemeldet hat, konnten wir mit dem Zahlungsanbieter zusammenarbeiten, um die Probleme ohne Auswirkungen auf die Kunden zu lösen."

Siehe auch:
Steam, Valve, Valve Steam, Valve Corporation