Bir güvenlik araştırmacısı, Valve'ın milyon dolarlar kaybetmesine yol açabilecek bir Steam güvenlik açığı tespit etti. Araştırmacı açık için ödüllendirilirken bir Valve sözcüsü de açık ile ilgili açıklamada bulundu.
Güvenlik araştırmacısının yardımını alarak açığı kapatan Valve, büyük bir zarara uğramanın eşiğinden döndü. Açık ile kullanıcı 1 dolarlık yüklemeyi 100 dolarlık bir yüklemeye dönüştürebiliyordu ve bu da aynı açığı kullanarak dijital oyun mağazasında yer alan sayısız oyunu değerinden çok daha düşük bir fiyata satın almasına olanak tanıyordu.
Kapatılan Steam Güvenlik Açığı Nasıl Kullanılıyordu?
"drbrix" isimli araştırmacının paylaştığı bilgilere göre açıktan yararlanmak için e-posta adresine "amount100" eklemek ve Smart2Pay API'sini kullanarak bir istek göndermek yeterli oluyordu. Steam çalışanındansa yanıt gecikmedi.
Çalışan, "Bildiriminiz için teşekkürler. Bunun açıkladığınız gibi gerçekleştiğini doğruladık ve şu anda bu konu hakkında adımlar atıyoruz. Lütfen açığın ciddiyeti ve ödül değerlendirilene kadar beklemede kalın" sözlerini kullandı ve aynı gün içinde yaptığı başka bir açıklamada şu ifadelere yer verdi:
"Sistemimiz üzerinde şu an gerekli düzeltme işlemlerini uyguluyoruz. Lütfen tekrar test edip neler olduğunu bizimle paylaşır mısınız?"
Güvenlik açığı daha sonra drbrix tarafından test edildi ve çalışanın da söylediği gibi açık için gerekli adımların atılmasının ardından kullanıcıların yararlanılabileceği açık kapatıldı.
Yukarıdaki konuşma gerçekleşirken yazılanlar sadece Valve çalışanı ve hatayı bildiren kullanıcı tarafından görüntülenebiliyordu. Açık bildirimi, ödül miktarı belirlendikten sonra herkese açık hale getirildiği için diğer Steam kullanıcılarının söz konusu açıktan o ana kadar haberdar olmadığı düşünülüyor.
Steam'i Zarara Uğratacak Açığı Bildiren Kişiye Ne Kadar Ödül Verildi?
Güvenlik araştırmacısı, güvenlik açığını bildirilip düzeltilmesinin ardından 7.500 dolarlık bir miktarla ödüllendirildi.
Bir Valve sözcüsü, The Daily Swig'e yaptığı açıklamada bu hatayı bildiren kişi sayesinde sorunun müşteriler üzerinde herhangi bir olumsuz etkisi olmadan çözmek için Smart2Pay ile beraber çalışılabildiğini belirtti.
Valve çalışanı, açığı bildiren drbrix isimli kullanıcıya verdiği yanıtta, "Açığın önemini kritik olarak değiştirdik ve buna göre bir ödül verdik. Gelecekte sizden daha fazlasını duymayı umuyoruz" ifadelerine yer verdi.
YORUMLAR