В системе безопасности Steam нашли критический баг, который позволял пользователям начислять на свой аккаунт бесконечные суммы. На данный момент Valve уже устранила эксплойт.
Известно, что об уязвимости сообщил исследователь в сфере кибербезопасности и пользователь ресурса Hackerone под ником Drbrix. Успел ли кто-то воспользоваться эксплойтом — неизвестно.
Баг заключался в следующем: можно было перехватывать запросы на перечисления, которые идут через систему Smart2Pay, а затем отдельным письмом отправлять их с изменёнными суммами. При следующем фактическом зачислении даже одного доллара на счёт пользователя Steam поступит столько денег, сколько было указано в письме.
Позже Valve подтвердила, что эксплойт действительно работал. Разработчики также устранили уязвимость и выплатили Drbrix 7,5 тысяч долларов в качестве вознаграждения.
Ранее Valve обратилась в суд и попросила отклонить антимонопольный иск от Wolfire Games.