Steam居然还有这种bug！钱包余额可任意修改：随便充钱？_黑客|泄露|客户|驾驶执照|ime

8月16日，网络安全研究人员@drbrix发现了一个Steam钱包余额的Bug，该漏洞允许用户通过某些特殊手段修改账户里的余额。随后，在drbrix的帮助下，Steam官方很快将该漏洞修复。值得注意的是，直至Bug修复之前，drbrix并没有向Steam官方说明是否有人利用过这一漏洞。
据了解，修改余额的方法不是很难，如果用户的账户（电子邮件）包含“amount100”，通过任意方法拦截Steam发送给Smart2Pay API的数据，就可以任意修改Steam钱包里的余额，不论多少。
该漏洞被发现后，Steam官方立马将该漏洞标为“严重”等级并迅速修复，并奖励drbrix 7500美元。他表示，这个Bug一旦被黑客发现，就可以通过利用漏洞低价出售各种游戏的兑换码等方式赚钱，破坏正常的游戏市场环境。
事实上，不少互联网企业都担心自己的平台漏洞被黑客利用，造成财产损失。不过，并不是所有黑客都是图谋不轨的角色，有些黑客希望通过和企业合作，实现利益双赢，而不是单纯地利用漏洞为自身谋取利益。
据悉，有一个让企业和黑客之间建立联系的漏洞悬赏平台HackerOne，通过建立众测漏洞平台，让黑客帮助企业发现并协助修复平台漏洞，并获得由企业支付的奖金。HackerOne官方表示，目前已有来自226个国家和地区的83万名黑客注册漏洞猎手，其中有9名已经从悬赏平台赚取超过100万美元的赏金。

文章插图
【 Steam居然还有这种bug！钱包余额可任意修改：随便充钱？】对于Steam来说，一旦漏洞被利用，还可以通过后台系统对账找到“钻空子”的账户，轻则将账户的数据改回来，重则封禁账户。然而，Steam的支付校验是放在客户端而非后台服务器，所以一旦把支付验证数据拦截住就有可能被利用。不提早修复漏洞，一旦造成客户和自身损失，Steam官方就要花费更多时间去追回。