Valve, Steam’e sınırsız cüzdan parası eklenmesini sağlayan açığını kapattı!
Valve, Steam’e sınırsız olarak cüzdan parası eklenmesini sağlayan bir açığı erkenden farkedip kapattı. Geç kalınması veya kötü amaçlı kişiler tarafından keşfedilmesi durumunda büyük problemlerle karşı karşıya kalacak olan Valve, bu sefer şanslıydı.
Açık, ilk olarak bir güvenlik araştırmacısı tarafından HackerOne platformu üzerinden duyuruldu. Bunun hemen arkasından açığı kapatan Valve, açığı keşfeden kişiye de 7500 dolar ödül verdi. HackerOne, temelde beyaz şapkalı hackerler ile Valve gibi şirketleri buluşturan bir platform. Hackerlar, programların, uygulamaların, internet sitelerinin keşfettikleri açıklarını bu platform üzerinden şirketlere bildirirler ve çabalarının karşılığında bir ödül beklerler. Böylece keşfedilen açıklara halka açıklanmadan kapatılma imkanı tanınmış olur.
9 Ağustos tarihinde, HackerOne kullanıcısı Drbrix, özel olarak Valve şirketine bulduğu açığı bildirdi. Açığa göre sınırsız cüzdan kodunu alabilmek için e-posta adresini değiştirmek ve Smart2Pay ödeme yöntemini kullanan bir yöntem ile 1 dolarlık bir ödeme yapmanız gerekiyor. Daha sonra ödeme yönteminin API’si üzerinden kendi elinizle girdiğiniz miktar kadar parayı Steam cüzdanınıza aktarabiliyordunuz. İşlemin tüm detayları ve nasıl çalıştığını öğrenmek için açığın HackerOne raporunu inceleyebilirsiniz.
Açığı bulan Drbrix, paylaştığı raporda açık ile ilgili şu sözleri kullandı:
“Saldırıyı yapan kişinin sınırsız olarak para üretebilmesi, Steam marketi bozması ve oyun anahtarlarını ucuz olarak satabilmesi vs. Gibi açıklar bence çok bariz şekilde büyük bir etkiye sahip.”
Beklendiği üzere Valve, olaya çok hızlı bir şekilde yanıt verdi. Sitedeki bir Valve çalışanı olan Jonp, öncelikle Drbrix’e buldukları için teşekkür ederek yayınladıkları bir kaç çözümü test etmesini rica etti. Birlikte yapılan bir kaç testin ardından ise açığı kapatmak için gerekli adımlar uygulanmış görünüyor. Jonp de devam eden mesajlarında rapor ile ilgili “düzgünce yazılmış” ve “gerçek bir iş riskini tanımlamada yardımcı” gibi etiketler kullanmış.
Sorunun çözülmesinin ardından Valve, Drbrix’e 7500 dolarlık bir ödeme yaptı. Drbrix, ödülü için şirkete teşekkür ederek tatmin olmuş gözükse de aslında açığın Valve için oluşturabileceği maliyet düşünüldüğünde bu ödül oldukça küçük bir miktar. Karşılaştırma açısında Riot Games geçen sene popüler oyunu Valorant’ın açıklarını bulan kişilere 100 bin dolarlık para ödülü teklif etmişti.
Açığın ne zamandan beri var olduğu ve daha önce başkaları tarafından da kullanılıp kullanılmadığı bilinmiyor. Çözümünün ardından ise Valve ve Drbrix bir araya gelerek halka açık bir rapor sundular. Valve açığı kapattığını duyurdu ve an itibariyle herhangi birinin bu açıktan faydalanabileceği bilinmiyor.
Kaynak: hwp