l+f: Unendlich-Geld-Hack ist Valve 7500 US-Dollar wert
Das Softwareunternehmen hat eine Schwachstelle geschlossen, über die Spieler ihr virtuelles Portemonnaie theoretisch unendlich aufladen konnten.
(Bild: Casimiro PT/Shutterstock)
Ein Sicherheitsforscher ist auf eine Methode gestoßen, das virtuelle Portemonnaie der Videospielplattform Steam mit theoretisch unendlich viel Geld aufzuladen. Mittlerweile hat das Softwareunternehmen Valve die Schwachstelle geschlossen und dem Forscher eine Belohnung gezahlt.
Wie aus einem Bericht auf der Bug-Bounty-Plattform HackerOne hervorgeht, fand sich die Schwachstelle bei der Zahlungsabwicklung über Smart2Pay beim Aufladen des Steam-Wallets mit Geldbeträgen.
Endlich unendlich Geld
Der Forscher gibt an, im Zuge der Kaufabwicklung stattfindende Anfragen analysiert zu haben. Dabei fiel ihm auf, dass er mit einer bestimmten Schreibweise von E-Mail-Adressen die Höhe der Geldaufladung manipulieren konnte. So war es ihm etwa möglich, mit der E-Mail-Adresse brixamount100abc@ 100 US-Dollar aufzuladen, auch wenn die Transaktion real nur mit einem 1 US-Dollar abgeschlossen wurde. Das Spiel hätte man mit cttestamount1000000000000000000@ct.de auf die Spitze treiben können.
Valve konnte diese Vorgehensweise nachvollziehen und hat die Schwachstelle zügig geschlossen. Für das Melden des Fehlers haben sie dem Sicherheitsforscher eine Prämie in Höhe von 7500 US-Dollar gezahlt.
lost+found
Die heise-Security-Rubrik für Kurzes und Skurriles aus der IT-Security.
Alle l+f Meldungen in der Übersicht
(des)
