パッチが適用された Steam エクスプロイトにより、プレイヤーは Steam ウォレットに無制限の資金を追加できるようになります

Valve は、プレイヤーが Steam ウォレットのクレジットを改ざんできるバグを報告したセキュリティ研究者に 7,500 ドルを授与しました。

The Daily Swigが発見したように、研究者の「drbrix」はHackerOne経由でこのエクスプロイトを報告し、「攻撃者がSteamウォレットの残高を生成できる脆弱性を発見した」と述べた。このバグは現在解決されていますが、Steam アカウントの電子メール アドレスに「amount100」が含まれているプレイヤーは、Smart2Pay 経由での支払いを傍受し、人為的に金額をつり上げることができます (NME に感謝)。

Valve の JonP 氏は、このエクスプロイトがどのように生成されたかを詳細に述べた後、すぐに drbrix に感謝の意を表し、Valve のチームが「これがほぼ説明どおりに起こっていることを検証」でき、それに対処する措置を講じていることに同意しました。

Valve によるトリアージの後、drbrix が再度エクスプロイトを試みるよう招待された後、JonP はその記者に 7,500 ドル (つまり約 5,400 ポンド) の報奨金を授与し、問題の重大度を中程度から重大に格上げしました。

「この報告をありがとう」とJonPは言いました。 「これは明確に書かれており、実際のビジネスリスクを特定するのに役立ちました。私たちはビジネスへの潜在的なコストを反映して重大度の評価を重大に変更し、それに応じて報奨金を適用しました。今後さらに多くのご意見をいただけることを期待しています。」

この脆弱性がハッカーによって悪用されたのか、それとも悪用される前に問題を改善できたのかについて、本稿執筆時点で Valve からは何も発表されていない。

ICYMI は、Valve が公式 YouTube チャンネルで 8 か月ぶりのビデオ「Steam Deck の紹介」を公開しました。

昨日 Wes がまとめたように、このビデオは Valve の今後のハンドヘルド機の機能を端的にまとめたもので、このデバイスの主張を簡潔に述べています。

Steam Deck の需要は引き続き旺盛で、予約開始後すぐに在庫が延期されました。詳細については、Digital Foundry の Steam Deck 分析をご覧ください。