V社修复Steam刷钱漏洞 并给了报错的黑客7500美元

近日Valve在一名网络安全研究人员的帮助下，发现并修复了一个可以刷Steam钱包余额的漏洞。

漏洞是这样的：将帐户的电子邮件地址更改为包含“amount100”的地址，然后截取发送给支付公司的API，就可以把Steam钱包里的余额变为100美元。

余额可以变成你写的数

该漏洞是由Drbrix发布在漏洞捕捉平台HackerOne上的，Drbrix起先将该漏洞标为“中等”等级，并表示“我认为该漏洞的影响是非常明显的，攻击者可以直接赚到钱并打破正常的Steam市场，廉价出手游戏密钥等。”

V社也是非常的实诚，在测试并修复漏洞后，将该漏洞的等级提到了“严重”，并且将要支付的赏金金额提高到了7500美元。

V社表示：“感谢报告这个Bug的人，让我们能够及时与支付供应商合作解决这些问题，没有对客户造成影响。”

HackerOne是一家专门收集网络Bug并向上报Bug的黑客支付赏金的网站，总部位于旧金山，到去年9月他们支付的总赏金金额已超过1亿美元。