पैच किए गए स्टीम वॉलेट का शोषण असीमित धन उत्पन्न करने की अनुमति दे सकता है |

वाल्व बग बाउंटी के लिए कोई अजनबी नहीं है, अक्सर सुरक्षा शोधकर्ताओं और विशेषज्ञों को भुगतान की पेशकश करता है जो स्टीम के भीतर बग ढूंढते हैं और हैकरऑन जैसे कार्यक्रमों के माध्यम से उनकी रिपोर्ट करते हैं। इस बार, किसी को एक विशेष रूप से बड़ा मुद्दा मिला जिसने असीमित स्टीम वॉलेट फंड को खाते में जोड़ने की अनुमति दी - एक ऐसा मुद्दा जिसे अब ठीक कर दिया गया है।

भेद्यता, जिसे वाल्व के माध्यम से प्रस्तुत किया गया था हैकरवन , एक हमलावर को अपने स्टीम खाते के ईमेल को बदलकर और प्रदाता के रूप में Smart2Pay का उपयोग करने वाली भुगतान विधियों पर लूप होल का दुरुपयोग करके स्टीम वॉलेट फंड उत्पन्न करने की अनुमति दे सकता है। यह एक लंबी और कुछ जटिल प्रक्रिया है, इसलिए ऐसा नहीं लगता कि इस भेद्यता का दुरुपयोग किया गया था, लेकिन फिर भी, वाल्व ने पिछले सप्ताह रिपोर्ट को उठाया और शोधकर्ता के दावों को मान्य किया।



पिछले हफ्ते स्टीम के बैकएंड पर इस मुद्दे का समाधान भी लाइव हो गया, यही वजह है कि अब भेद्यता को सार्वजनिक कर दिया गया है। इस भेद्यता को खोजने और रिपोर्ट करने के काम के बदले, वाल्व ने $7,500 का इनामी शुल्क अदा किया।

इस तरह की स्टीम वॉलेट भेद्यता अब विशेष रूप से महत्वपूर्ण है कि वाल्व हार्डवेयर बेच रहा है, जो स्टीम पर सॉफ़्टवेयर के विपरीत, खरीद के बाद रद्द नहीं किया जा सकता है। उत्पन्न नकली धन का इस्तेमाल स्टीम डेक और वाल्व इंडेक्स जैसे भौतिक उत्पादों को ऑर्डर करने के लिए किया जा सकता था, जिसे बाद में मुफ्त लाभ के लिए बेचा जा सकता था। सौभाग्य से वाल्व के लिए, इस परिदृश्य को अब टाला गया है।

स्टीम काफी सुरक्षित होता है, इसलिए जब इस तरह की बग का पता चलता है तो यह उल्लेखनीय है।