Jak podaje serwis PC Gamer, polski specjalista do spraw bezpieczeństwa – użytkownik o pseudonimie drbrix – zgłosił na portalu Hackerone poważną lukę w systemie płatności platformy Steam należącej do korporacji Valve. Błąd pozwalał na zwiększenie salda portfela w sklepie. Dokładne działanie błędu zostało opisane między innymi po polsku na portalu Sekurak. Według raportu luka wystąpiła po stronie dostawcy płatności Smart2Pay; aby wykorzystać błąd, wystarczyło zmienić adres mailowy w taki sposób, aby zawierał w sobie sformułowanie amount100, np. brixamount100@gmail.com.
Nie będziemy jednak rozwodzić się na temat tego, jak tę lukę można było wykorzystać – zainteresowani mogą znaleźć szczegółowy opis na wspomnianej stronie Sekurak. W dużym skrócie: można było doładować swój portfel Steam o jednego dolara i ostatecznie otrzymać np. 100 dolarów.
Zagrożenie było więc naprawdę poważne, ponieważ pozwalało użytkownikom prawie że za darmo kupować dowolne tytuły, aby później np. sprzedawać je w pełnej cenie. Valve szybko odpowiedziało polskiemu użytkownikowi na zgłoszenie i ostatecznie zdecydowało się wypłacić mu nagrodę wynoszącą 7,5 tys. dolarów, czyli około 29 tysięcy złotych. Korporacja rozwiązała problem wspólnie z dostawcą usług płatności.
