Сервис цифровой дистрибуции Steam уже давно перестал быть просто магазином ключей и преобразовался в огромную экосистему для геймеров с функциями платформы для блогов, социальной сети и даже торговой площадки для обмена внутриигровыми ценностями. Некоторые люди умудряются зарабатывать на манипуляциях с торговой площадкой по несколько тысяч долларов в месяц, а на перепродаже ключей строят свой бизнес даже большие международные компании, вроде G2A. В такой ситуации любой изъян в системе платежей Steam может мгновенно обрушить экономику всего сервиса и принести убытки на миллиарды долларов.

Именно такой баг обнаружил специалист по цифровой безопасности, скрывающийся под псевдонимом drbrix. Найденная им уязвимость позволяла почти бесплатно пополнять свой кошелёк Steam весьма значительными денежными суммами, тратя при этом сущие копейки. Суть метода заключалась в изменении своего адреса е-mail на любую конфигурацию, содержащую в себе сочетание символов "amount100" (для примера хакер создал почту brixamount100abc).

Далее необходимо было проследовать на страницу пополнения своего счёта Steam, выбрать в качестве платёжного средства Smart2Pay и закинуть к себе на баланс сумму в 1 доллар США. После этого специалист перехватывал POST-запрос на globalapi.smart2pay.com и исправлял в нём сумму платежа, подставляя желаемое значение в поле CustomerEmail. Таким образом можно было получить на свой счёт несколько тысяч долларов вместо исходного одного. 

После публикации на HackerOne Valve оперативно исправила проблему и выплатила эксперту вознаграждение в размере 7 500 долларов за обнаружение эксплойта. А обычным пользователям Steam остаётся лишь надеяться, что другие хакеры последуют примеру drbrix и при обнаружении новых дыр в платёжной системе магазина не станут использовать их для собственного обогащения, ограничившись скромной наградой от Valve.