海外のテック系メディアThe Daily Swigなどによれば、Valve社が同社運営のゲーム配信プラットフォーム「Steam」に「資金を無制限」に追加できてしまう脆弱性を発見したハッカーに7500ドルの報奨金を支払ったことが明らかになった。
8月1日、企業とハッカーをつなぐプラットフォーム Hacker One(企業サイトやシステムなどのセキュリティの脆弱性を発見したハッカーがそれを投稿、企業が報奨金を支払うことで事前に悪用されることを防ぐ仕組み)のユーザーであるDrbrix氏が、Steam Walletに悪用できる脆弱性があることを投稿。
Hacker Oneに公開された記事によればSteam Walletのアカウント名を「amount100」という文字列を含むものに変更し、決済方法にSmart2Pay(オランダのウェブ決済サービス)を利用。最小利用単位である1ドルに設定して手続きを行うと、その後、金額が自由に編集可能になるというもの。もちろん、実際に支払った金額よりはるかに大きくすることも可能だったという。
その後、この脆弱性に関する報告を、各種テック系メディアが発見、Valve社が対策に動く、という流れになった。すでにこの脆弱性は対策済み。ことの顛末などはHacker Oneに掲載されている。
ちなみに、過去のHacker One関連の事例で言うと、RiotGames社が同社の人気FPS「Valorant」の脆弱性を発見したハッカーに10万ドルの報償金を支払ったそうだ。
実際にどれほど大きな被害があったかはさだかではないが、Valve社、もう少し頑張れ……。と思ってしまうの私だけだろうか。
コメント