Valve, Steam’in Açığını Bildiren Kişiye Para Ödülü Verdi
Bir HackerOne kullanıcısı, platformda Steam’in oldukça riskli bir güvenlik açığını paylaştı. Kullanıcılara resmen parasız cüzdan bakiyesi sunan açığa dair gönderiyi gören Valve, problemi düzeltti. Problemi kabul eden güvenlik araştırmacısı ise 7 bin 500 dolar ödül aldı.
Steam’in kullanıcılara resmen bedavadan bakiye elde eden güvenlik açığı, kısa sürede bir güvenlik araştırmacısı tarafınca ortaya çıkarıldı. Valve, büyük zarara niçin olabilecek bu açığı kabul eden kişiyi aşağı yukarı 1 maaşlık parayla ödüllendirdi.
Araştırmacının ortaya çıkardığı güvenlik açığı, kullananların Steam cüzdan bakiyelerine parasız para yüklemelerini sağlıyordu. Bunu fark eden kişi Valve’ı durumdan haberdar etti. Problem düzeltildi, güvenlik araştırmacısı ise 7 bin 500 dolarlık bir ödül aldı.
Güvenlik araştırmacısı, kim bilir Steam’i devasa bir zarardan kurtardı
HackerOne adlı sitede ‘drbrix’ adıyla bulunan bir güvenlik araştırmacısı, Steam’de kullananların hileyle cüzdanlarına para yüklemesini elde eden bir güvenlik açığı keşfetti. Düzmece bir ‘Smart2Pay’ ödemesi oluşturarak istismar edilebilecek açık, ‘drbrix’ tarafınca ayrıntılarıyla HakcerOne’da paylaşıldı.
Araştırmacı, açığın Steam’de büyük sorunlara niçin olabileceğini; Steam dükkanının parasız alışverişle çökertilebileceği ya da bir kullanıcının parasız almış olduğu oyunları ucuza satabileceği uyarısını gönderinin sonuna ekledi. Gönderiyi gören bir Valve yetkilisi, teşekkür ederek problem üstünde çalışmaya başladıklarını bildirdi. Probleminin ortadan kaldırılmasından sonrasında Valve, bu büyük açığı kabul eden şahsa ödül olarak 7 bin 500 dolar gönderdi. Gönderinin yorumlarına bakacak olursak bu ödül, ‘drbrix’i oldukça sevindirdi. Sadece kendisi bunu rapor etmese Valve, oldukça büyük zararlar altında kalabilirdi.
Valve, bu açığın şu ana kadar bir hacker tarafınca kullanılıp kullanılmadığına dair bir izahat yapmadı. Sadece kullanmış olsaydı bile, sanıyoruz ki hatırı sayılır bir zarar gerçekleşseydi şirket bunu kendi fark ederdi.
