每年为了买游戏你得花费多少?绝大部分玩家,想必对于这个问题的答案都难以给出一个清楚的回答。毕竟许多玩家每每遇到Steam促销活动,都会视自己游戏库里一众吃灰的游戏熟视无睹,进而投身到新的不间断购买行动中。直到钱都花出去之后,又会开始感到后悔。 但如果有一天你发现了Steam的漏洞,可以让你可以随意更改Steam钱包里的数值、白嫖所有游戏、不花一分钱对所有游戏内购产品进行充值,那你能把持得住吗?  近期Hackerone上的一名用户,就向V社报告了有关Steam钱包系统所存在的漏洞:Steam所使用的Smart2Pay支付渠道下,只需要账号邮箱内包含“amount100”这一串字符,就可以通过拦截POST请求,让余额想有多少就有多少。  在电子支付系统的发展日益完备、并普及给了绝大部分智能手机用户的当下,这个功能就跟你可以随意更改支付宝账户余额一样恐怖。Steam钱包余额不再是钱,而只是一串数字;即使是育碧《看门狗》系列中的黑客们,也无法做到这点。  通过这个漏洞用户能兜售游戏兑换码从中获得收益,甚至于破坏Steam现有市场环境,倘若它被更多人所知晓,V社的损失恐怕会难以估量。 不过这名发现漏洞的黑客却没有选择这样做,反而通过正经途径Hackerone(Hackerone又叫黑客街,是全球知名的漏洞众测平台,任何人发现应用程序漏洞并提交,就可以获得赏金)反馈了这个问题。  靠着自己的技术和洞察力,黑客获得了V社给予的7500美元奖励,不过很多人却觉得他帮助Steam和V社规避的损失,跟他所拿到的奖励根本不成正比。如果非要做个类比,几个月前为R星解决麻烦的黑客,就是个挺不错的案例。 《GTAOL》的老玩家们每次登录游戏,都会因为加载时间过长而被迫看云几分钟,许多人都将其归咎于R星的服务器不稳定,或者是自己网速慢。  不过一位技术宅玩家在分析了《GTAOL》的程序代码之后发现了一个惊人的秘密,原来导致游戏加载时间过长的原因,其实都是因为某串代码的错误,导致游戏在加载时会对算法值检验198453150亿次,而这才是导致玩家加载时需要长时间俯瞰洛圣都云层的原因。  为了感谢这名玩家对游戏优化(游戏加载时间被缩短70%)所做出的贡献,R星同样通过Hackerone平台赠予了他10000美元的奖励。 从漏洞对企业的危害性来看,Steam钱包不限额所造成的隐患远超于让玩家每次上线多等两分钟,但前者所给的奖励却还不及后者,不免让人感到讶异。当然,作为当事人的黑客都应允下了7500美元的奖励,网友们的意见也就不那么重要了。  最近两年游戏圈的黑客名头并不好,通常都以“勒索者”的身份出现在资讯中。不论是卡普空、育碧这样的大厂商,还是国内的独立游戏制作者,都深受其害。能像上面这两位这样对游戏、平台做出贡献的黑客,可谓是少之又少。 从某种程度上来说,Hackerone平台上的赏格越高,或许才能更好地促使黑客们将自己的技术用在正途上。 |
抵永久白嫖游戏诱惑 良心黑客上报Steam漏洞获7500美元奖励
[编辑:F]
本文仅代表发表厂商及作者观点,不代表叶子猪本身观点!
