Drbrix wybrał bramkę numer jeden i Ty też powinieneś
Badacz bezpieczeństwa o pseudonimie drbrix zainkasował 7500 dolarów, czyli równowartość ok. 29 000 złotych w zamian za przekazanie Valve informacji o exploicie, który mógł pozwolić graczom na zwiększenie salda portfela Steam poprzez sztuczne zwiększenie wartości depozytów. Luka została błyskawicznie załatana przez Valve w zaledwie kilka dni po jej wykryciu.
W artykule opublikowanym przez HackerOne, już po załataniu błędu przez Valve, badacz opisuje jak dało się go wykorzystać. Pierwszym z krokiem było zmodyfikowanie adresu e-mail w taki sposób, aby zawierał frazę „ammount100„. Przyznajcie, że zaczyna się intrygująco.
Po dokonaniu powyższej czynności, należało dodać środki do swojego portfela, wybierając opcję płatności za pośrednictwem holenderskiego Smart2Pay z minimalnym depozytem w wysokości 1 dolara. Jeśli oszustowi udałoby się przechwycić odpowiednie żądanie POST do Smart2Pay API, trafiłby na odpowiedź, którą można edytować, aby zmienić kwotę płatności. Tą z kolei da się edytować na znacznie większą kwotę od realnej – na przykład 100 dolarów zamiast 1 dolara.
Smart2Pay jeszcze nie odpowiedział na prośbę o komentarz, więc trudno w tym momencie powiedzieć, jakie szersze wnioski, jeśli w ogóle, można wyciągnąć w oparciu o powyższy incydent.
Gdybyś postanowił oszukać Valve…
Jeśli ktoś wykryłby powyższą lukę i postanowił na niej zarobić, w polskim systemie prawnym otrzymałby prawdopodobnie zarzut oszustwa z artykułu 286 Kodeksu Karnego.
§ 1. Kto, w celu osiągnięcia korzyści majątkowej, doprowadza inną osobę do niekorzystnego rozporządzenia własnym lub cudzym mieniem za pomocą wprowadzenia jej w błąd albo wyzyskania błędu lub niezdolności do należytego pojmowania przedsiębranego działania, podlega karze pozbawienia wolności od 6 miesięcy do lat 8.
Oszustwo to jedno z najczęściej popełnianych przestępstw w Polsce.
Źródło: hackerone