Valve : correction d'un bug exploit qui permettait d'ajouter de l'argent à l'infini à son portefeuille Steam
par Jarod De O.Un utilisateur de Hackerone a trouvé un bug qui aurait pu coûter très cher à la compagnie. Il suffisait de changer son adresse mail pour empocher le jackpot...
Hackerone est un site qui met en relation des entreprises, comme ici Valve, avec des particuliers dont le passe-temps quelque peu original est de pirater des sites, des applications et des logiciels. Ces personnes peuvent ainsi soumettre le fruit de leurs piratages aux entreprises en privé via la plateforme et, en échange, ces entreprises rémunèrent ces « cyber-héros » pour les remercier. Ce système a pour but d'identifier et de neutraliser les « bugs exploits » avant qu'ils ne puissent être découverts et partagés au grand public.
C'est ainsi que le 9 août, l'utilisateur Brbrix contacta Valve via Hackerone pour prévenir d'un exploit qui permettait d'intercepter les transactions Smart2Pay en changeant son adresse mail. L'intégralité de la manipulation est disponible sur le post de Drbrix qui a été rendu public un jour après sa découverte. Il a ajouté :
Je pense que l'impact de ce bug exploit est assez évident, le hacker peut générer de l'argent à l'infini et casser le marché Steam, vendre des clés de jeu à bas prix, etc.
Valve s'empressa de fixer le bug et remercia son sauveur en lui offrant 7 500 $. Une somme qui paraît ridicule lorsque nous imaginons combien cela aurait pu coûter si le bug avait été trouvé avant et rendu public, ou lorsque nous comparons cette somme aux 100 000 $ qu'offrait Riot Games à quiconque trouverait des « bugs exploits » à la sortie de Valorant.
À ce jour nous ne savons pas si quelqu'un a pu utiliser cette technique avant la découverte de Drbrix.