※ [本文转录自 C_Chat 看板 #1X6UBY_P ]
作者: SuperSg (○(#‵ ︿′ㄨ)○森77) 看板: C_Chat
标题: [新闻] 骇客找出Steam钱包无限资金漏洞
时间: Mon Aug 16 12:00:31 2021
https://bit.ly/37M013S
骇客找出Steam钱包无限资金漏洞，Valve紧急修复
任何含有线上储值付款功能的电子平台皆可能有漏洞风险，Steam 也不例外。上周
Hackerone 赏金平台有一位骇客发布了 Steam 的钱包系统存在一个漏洞，令其可在某个
帐号底下无限生成资金，该功能经 Valve 确认后已紧急修正，并支付 7,500 美元的报酬
给该骇客。
根据 Hackerone 报告，代号 Ddrbrix 的骇客在 8 月 9 日私下提醒 Valve 注意钱包系
统漏洞，这个漏洞的原理基本上是拦截任何利用 Smart2Pay 支付方式的交易，修改储存
资金的金额 —例如 1 美元改成 100 美元— 几乎是 Steam 平台的伪钞技术了。
“我认为影响非常明显，攻击者可以此来赚钱，破坏 Steam 市场，用以低廉的价格出售
游戏序号等等，”Ddrbrix 在报告中表示。
之后，Valve 官方人员快速测试该漏洞后紧急修复，并感谢这位骇客找出致命的漏洞，支
付 7,500 美元作为赏金。
许多游戏发行商皆有与 Hackerone 的骇客进行合作找出漏洞，例如任天堂、Rockstar
Games 或 Riot Games，而 Riot 还曾为自己旗下的《特战英豪》反作弊程式“Vanguard
”准备祭出 10 万美元的赏金给发现漏洞的白帽骇客。
=====
在买游戏的游戏中开钱无限，大概是这个意思

Show me the money

纯爱

这反应真快

开金手指

7500美刀有点低哩....

greedisgood

还能用就能把steam游戏买齐破关了

7500元耶 好羡慕

才给7500

7500就打发掉 真廉价

你各位觉得要多少？

20万还不错吧

真用这个BUG灌钱是犯法且帐号会被封锁吧.

不能用价值看吧.难道我捡到别人家钥匙还回去要索取对方50%家产吗

给奖金已经够给面子了 这种骇客是实打的犯罪 就算靠这方式获利也会被追讨

好险被发现

算其中的一成好了 那么买遍steam游戏需要两百万台币吗

终于能RTA这个买游戏的游戏了？

很多白帽本来就做功德的吧

白帽也被说犯罪 笑烂

绝对超过200万台币...

才7500美

16楼在说什么...本来就是游戏公司和平台合作

行为上要说他犯罪也没错啊 就只是要不要告的问题 真要告绝对可以 只是留他们免费帮公司debug更符合利益罢了

这种赏金你不给人，等等被真正的坏人弄翻

7500真的有点少

找到漏洞但没有滥用犯了什么罪来着

找到漏洞不代表有进行破坏啊 有漏洞是你的问题

笑死 我的程式有漏洞被发现了，我要告死发现的人

16楼根本不知道什么是白帽骇客吧 你自己去google

至少给10万美吧？这算很严重的欸

有人是非黑即白的，骇客就是骇客，管你黑帽白帽

找到漏洞要完全排除使用过它几乎不可能吧 行为上要完全不给人能告的空间很难吧

某楼可能没什么网络知识，就别跟他计较了

没被告就很好了还嫌钱少喔

笑烂，我们来解决发现问题的人，是这个意思吗

还犯罪哩 笑死

才讲没多久又一位认为所有骇客都是黑的人出现了

没加码送游戏喔

那当屁白帽，反正都会被吉

你敢告白帽骇客的话 就不会有白帽跟你合作了 剩下黑帽搞你这跟医生动手术你就一定要告他伤害一样好笑

好歹给个一万以上吧甚至给个十万也不为过

我又没说他是黑的 只是说站在公司的立场可以完全不给钱也不给予任何感谢 白白收下这个资安debug的结果

法律上是不行没错 道义上他救了G胖 7500跟v社比起来

有也不会用 不用花钱的steam还有什么乐趣？

人家特地来通知你哪里有漏洞 你告他？你是不是觉得多一个来攻击你的人会比较爽？

我们公司绝对不跟恐怖分 我是说骇客谈判

也是有听过先把钱干走，你付钱才还你的啦，但是这种就

你这种讲法就跟你出门时邻居提醒你门没锁，你还靠北邻居

跟你讲你家窗户破了还要被屋主告?笑死

到底在讲三小啦，要死是屁都不吭的把漏洞修好，就可看下次人家找到漏洞会不会告诉你

说法律上不行的说说是犯了那条法律啊

https://www.ithome.com.tw/news/139868比如说大家最爱的M$

白帽出发点不谈啦，哪知道人家原始动机是想挖bug图利还真的只是想抓虫？

可能有让骇客选游全游戏免费玩 vs 折现，两种选项？

但他告诉游戏公司，就该有赏，有没有用bug图利，那是另一回事

提供专业技术就是值得分享利益，有问题吗?

你这点奖励都不肯给，还要告他，以后真的没白帽帮你抓虫了

喔喔，你的意思说是挖bug偷用，但是这个行不通公司一下就发现了，而且这就真的有法律问题了

才给7500？

7500其实满少的

steam这种靠网络平台赚钱的，怎么可能不了解白帽骇客文化？ 某楼的公司立场，显然不适用网络平台公司。

好像有人以为骇客本身就是违法的存在，笑死

j仁兄要检讨白客骇帽前，请先检讨G胖底下的工程师为何没

你了解的公司文化显然缺乏与白帽骇客互动这块

7500只是象征意义而已啦==

笑死 白帽被说成是犯罪 有够可怜

白帽子打我小学生时就听过了，不懂得就别出来嘴砲了

反正你也没时间玩…

会用白帽表示本身就已经没有恶意了...

这漏洞影响很严重，要庆幸没被公布

7500美应该是单纯发给该位白帽的奖金，G胖公司有在跟该组织合作表示应该本来就有赞助金之类的，可能组织本身也会

公司为了长期利益当然给白帽好生养著啊 只是说赏金多寡就公司随意啊 它没有义务一定要给白帽任何金钱或福利啊

给予奖励金之类的

骇客不能做慈善喔 = = 会这样告知本来就没打算洗钱吧

不知道白帽就算了还一直在嘴硬 到底？

不要嘴砲啦，乖乖承认不懂有这么难喔？

没有义务?是啊，看看上面那个网址，钱少给了就把自己找到

没给钱可以啊 只是你说人家是在犯罪欸

楼上一堆鬼岛逻辑 : 告帮你找bug bounty 的白帽

7500只是台面上的啦 底下流动一般人不会知道

自己养的debug team一个月就不只7500了还不一定抓得到

给太少了吧

7500听起来就像绩效那样的奖金吧，这些白帽应该平常就有固定的薪资了

白帽又不是受雇员工哪来的工资???

还以为是SpiffingBrit

白帽有些是兴趣在挖虫，人家有其他正职

好了啦 犯罪两个字都打出来就不要再遮了 无知不是问题 不愿意承认无知比较可怕

反正我主要是要说7500太少这件事 完全没立场吵 因为公司有给钱就已经是很佛了 它完全没有付这钱的义务在

白帽很多做功德的耶

没人给台阶下，当然要继续嘴硬，还扯到公司干嘛给钱感谢白帽骇客，搞不清楚状况的人当然搞不清楚状况

题外话 他们这类团体大多会跟公司合作帮忙找漏洞 我之前公司做网络相关产品 去类似机构测过一次 测完真的可以帮你抓一堆软硬件破解手法出来 费用那时候是付了5万镁

被人看没有而已啦，一个大公司帮他省了多少钱结果才给一点打发，根本不尊重专业还在还很佛www

公司是没这个义务给钱 不过人家不是你养的也没欠你 不给就准备花更多擦屁股

白帽通常公布的时候官方早就修了

人家valve在悬赏网站开悬赏，啊真的有人达成条件了推文又有人在说不用付那笔钱，是不是当悬赏是放屁啊

因为白帽发现Bug时一定是先联络官方，等确定修好后再跟官方共同公布有关这个Bug的事

7500应该是依照那个虫的等级去定义的，我们外人可能觉得危险，但是定义的人可能觉得就7500的价值

公司当然没必要付钱给白帽啊 但是下次exploit就直接卖给

十六楼好了啦

一下说钱太少 一下又没义务给钱 我真的快笑死

奖金摆在那，你不爽拿可以用这个漏洞转黑钱啊。

SpiffingBrit XD

人家公司在悬赏网站开的页面啦，里面回报的不只一笔，没义务大师快点来判断一下这些有没有义务给钱

从新闻来看这案子似乎不是合作 所以才说抓虫过程也可能有犯罪的可能 而且最主要是他抓到虫除了告知公司领赏外没有有其他合法变现的可能

也有可能这Bug使用难度高的关系，不是随便一个Steam玩家看懒人包就立刻会用的状况，所以奖金才会有认知上的落差

怎么变成犯罪的可能了?不是说是实打的犯罪吗?

那j仁兄逻辑蛮悲哀的，把所有人都当做贼去防范，不愿相信

看推文就知道台湾为什么会是鬼岛了 先解决敢提出问题的人难怪三不五十能看到指鹿为马 国王新衣的事情

有人是好心主动帮忙，就算是为了除虫奖金，该人有做了什

给抓bug奖金google和微软这些科技公司都有

以valae的规模7500就是在羞辱人啦

公司没义务付钱 白帽也没义务主动告知阿

一开始就说白帽这样是犯罪，后面怎么扯都是屁了啦，帮人抓虫还要被当罪犯

白帽也不是只靠赏金为收入,靠名气拿固定收入也很重要

所以大公司才会悬赏bug鼓励人家告知

新闻没采访这位白帽，所以无法得知7500到底对他而言是多还少，如果真认为少的话可能早就讲话了吧

至于钱的问题真的没必要讨论 人家觉得少可能下次就不干而已

我从头到尾都在说赏金太少的争议 抓语病打也很无聊啊 会提犯罪只是在说抓到虫也没有其他轻松变现的管道 到头也只能看公司良心给多少就多少

怎么会没变现可能 把方法拿去卖一定会有人出更高价

医生帮你开刀 你告他伤害罪的概念

另一个可能是人家想要的是名气而不是钱，毕竟可以找到该

骇客怎么懂行情 推文说不够就不够 懂

你说实打实的犯罪 然后现在说别人是抓语病ww

公司的工程师找不到的Bug，而且公司规模那么大

少的也不能怎摸样因为真的不是义务，但丢脸的是valve之后我看愿意帮助的白帽都要没了喔

说7500美元少的，有多少人是真的可以当下拿出7500美元

资格认证大师又要变成语病大师了喔，赞赞赞

16楼好了啦，冷静一下再看自己说的话，不要秀下限

轻松变现的管道?以这种程度的工程师，你真认为找不到地方卖情报吗?不要在那边把脸伸出来给人打好吗

7500有很多吗?你要不要看一下美国那边的工资开多少?

拿去卖就真犯罪啦 我原本想表达是要拿这bug变现就一定会犯罪 所以他根本没有除了回报公司以外的选择

你这个又讲错了，谁说卖情报就一定是犯罪?

不知道变现不变现有什么好吵的 人家搞不好根本不在意这些钱 旁边喊什么烧啊

好猛

玩手游发现有bug所以上来po文问 这样犯罪了吗

16f就台湾老板的思维吧你发现我网页的bug 我要告死你^^

某推文真的让人开眼界

我看到机车钥匙没拔 帮他拿下来放到前面置物柜 请问我犯罪了吗

看到朋友没在七夕陪他女朋友所以我帮忙陪，请问有犯法吗

干嘛跟那个id认真 只会一直跳而已

楼上比喻错误喔，白帽只有告知车主没有动手拔钥匙喔

凹成这样还不如不要回冷处理，回推回到这么没下限，是不是不知道什么叫丢人现眼？

有够寒酸 7500

最一开始不就一口咬定是犯罪吗

犯罪ww16搂先去查查白帽骇客是什么好吗

10万美我都不觉得多...7500是打发叫化子?

跳针无敌 别人说一句拿十句抵 我以为来到八ㄍ..咦?

一般漏洞奖金会根据攻击手法以及危害程度来决定

说真的少的大概是半懂吧黑客没有立场去跟公司要更多公司愿意给他ok就结案了要更多等等被起诉 再公布漏洞不是双输吗黑客都有自己底线在

羡慕

在台湾你会被告

他给多少当然都没错，我只觉得你那么大公司让人看低

又多了一个跳针id 可以黑单了嘻嘻

奇怪，拿钱的都没说什么了，旁边在喊很少是怎样

7500真的给得有点少

好歹加个0

16楼笑死，还 实打 勒

给的少就是提高下次骇客利用漏洞搞你的机会啊 看公司要怎么衡量囉

那赏金也太便宜了吧

笑死被打脸还一直跳针 哭哭哦 哈哈

骇客赚进二十几万

要更多钱不会被起诉好ㄇ，这种本来就类似雇佣关系（类似冒险者接案XD），要求加点薪是ok的

为啥一堆人觉得7500美很少

某楼秀下限 这就像是张贴寻狗启示 别人帮你找到狗然后还说没必要给对方回报 有够好笑

因为真的蛮少的，这个损失上限很高，fb之前斗内漏洞给

有时候追求的不是金钱 而是我先发现

1万美，特斯拉1元换400万汽车给4万美楼上讲的那个最近就有实例了，有个盗了价值6.1亿美元

我也觉得7500有点少 不过可能也是V社他们对自己bug的严重程度去决定赏金的

的加密货币他全还，官方给50万美元赏金他不要

fb跟特斯拉的规模都不知道比valve大几倍== valve公司没有上市 员工大概也才三百多人

不给的话下次找到的漏洞搞不好更严重 给了还能刷一波

不能删留言的好处就是可以看到有人一直跳针xD

骇客对金额表示过意见吗？

医生开刀一定都犯了伤害罪 阿原来有人说过了

台湾公司，你居然发现有漏洞，不管真的假的先把你告上法院。

某楼逻辑太秀了吧，跳针之鬼

7500美XD

被密医医好之后告伤害 真赚

7500超少吧

总是有不懂装懂的拉不下脸

台面上白帽 台面下黑帽:)

白帽子就是赚心安理得的赏金，不是所有人会去违法

跳针笑死XD你干脆说卧底警察也要照组织犯罪条例抓去关好了。

好了啦 笑死

这么大包的漏洞 7500美???

就写合作的赏金平台了还在耍什么白痴 去读书啦

觉得多一个零价位才差不多这种漏洞很重要 但骇客找漏洞的工作不是天天有价格太低是叫骇客没工作时要吃自己?

上面都有人贴hackerone网址了，点进去看就不用吵了https://i.imgur.com/6FUFcqQ.pnghttps://hackerone.com/reports/1295844

还好他没直接买那个 全游戏整合包

拦截 request 修改储存金额就行？涉及金流后端还没验金额确认喔这 bug 有点夸张

可以把所有游戏+DLC全部包了，能课金的全部课爆

Riot果然是佛心公司所有奖金都20000起跳

没想到还有如此贴近现实的show me the money

你没说他黑的 都说犯罪了 ？ 脑子不好使是吧

发现不懂就闭上嘴，一直扯有够难看= =

好少。

发奖金不错了 苹果公司直接报警

转过来的文章，推文已经有一堆状况外的结果这边还是有

这么大的漏洞给个十万也是应该的

七千五有点少了 还有楼主牛头人那些状况外的人是本来逻辑就不同常人 不要太意外

这么严重的漏洞7500镁喔 这随便开个代购赚都超过吧

白帽根本就是防盗工程师

想赚钱就不会当白帽了

称不上太大漏洞吧，这种后续补救蛮简单的，就通通锁帐实体商店的话才比较需要担心这种事

公道价就是7500啊 484很多人还是看不懂

白帽骇客跟各大资安公司都有在合作已经算是一门高专业性的职业了 结果被乡民讲成这样 笑死

给奖金就是对双方都好的结果，金额够多使骇客认为私下利用漏洞不划算

公道价

至少Valve肯给 之前Google说好要给还不给

想说推文怎么那么没水准 原来是西洽转来的

Show me the money G胖版

7500镁好少

如果以 一成来说 7500美的比例是差不多了

7500当然不是知道行情 而是觉得自己如果这么厉害希望能更多看到这篇最大的用途就是多整理了几本牛头人 就这样

主要讨论点是 这并非对价关系啊我后来有在后面提到了 酬谢并非有实质对价未发生行为不能做为对价根据路边捡到200万 不能因为“你如果后谢要给我更多 连200万都拿回来”我们并不知道两造间是怎么决定的太高 或是 太低 在没有对价关系的前提下真的只是各人喊各人爽的

玩steam也开挂

牛头人是什么意思？

拼音输入 牛(N)头(T)人(R) 等等警察就要来了

佛心公司，反观

这漏洞当初要是卖到黑市，我看不只7500镁

黑客 骇客

vlave的损失≠你的漏洞获利

悬赏漏洞明标价码不是很正常吗

我是没看这么细啦 本回事情本身有悬赏价码吗我以为这个事件本身并没有悬赏 所以说这不是对价关系但无论如何 别人的漏洞不是作为自己得利的应当就像银行提款机故障不停吐钞尽管问题不在于自己 但也不能因此主张这些多出来的吐钞归于自己程式漏洞造成的假资金也是一样的

steam跟大部分的企业一样漏洞是用cvss评分 每个等级的漏

倒不如说 如果 我是说如果这名骇客告知valve“不更大让利就转卖”属实则侵害责任是他要扛 怎么说这锅都太大了

洞有他的价格在

喔 这个评分的话 7500美算高的了我记得hackerone有这个表格 9分级也有1500goohle倒是有奖励金制度 只是不清楚详细

前面推文...

我记得steam你帮他抓漏洞它价格都有分级标好了什么等级就给多少钱

16楼罗辑就是 我家门没关，谁来提醒一声我们没关就告死他

上面推文网址不就有写Steam悬赏最高只开到7500吗？就是明定价码了 外人看来应该给更多可能也没办法多给而且骇客应该也是接受这个价码才去挖漏洞的

哇操太爽了吧

用台湾的思维只会被当成罪犯，国外当成资安研究人员7500美金解决这件事确实是便宜，不然他拿去卖给其他黑客组织用公司损失更大steam版 无限金钱XD

整天帮别人嫌奖金太少才真的笑死

照你的逻辑漏洞别人找的、也已经补好 大家除了喔还能推啥还有请介绍一位整天嫌别人奖金太少的人推发文纪录给我看看不然你也只是成天找东西擅自笑死走开的那种 (ﾟ∀。在我们业界对于这种路上忽然笑出来的人都称之为

一堆人不懂装懂，本案其实是比较像，你会给一个跟你说你家二楼洗澡间水没关的人多少钱!或者跟妳说你老婆没穿内裤?给的是小气，但是很多人不给还会生气.报官抓也很有可能

扯更远了 厉害厉害前面推文真的不想看 主要分三种人1.讲错不认继续硬凹的jupto2.吃瓜群众只是想说7500合不合自己价值观 3.各种价值观错乱的提出一些奇怪形容2类居然能衍伸出其他话题 主要是大量3类在发威两军作战 打一打发现变世界大战 从拿枪的到拿扫把的大妈都来主要可怕的不是不知道行情 而是那些第一时间就想拿东西的价值争论我要是XXX可以是多少 这种无限接近幻想的行为来争论

一如我前面所说 对方估计损失 ≠ 你该获得的

都用hackerone 平台还犯罪 笑死 这不是自己私底下去破的好吗? 厂商-平台-白帽机制不懂?抓到虫要卖一定是可以卖的 还这么大的虫 卖黑市不难只是白帽不做这种犯罪行为漏洞平台有一套机制 bug怎么分级 什么程度给多少钱是有一个公开的机制的找到漏洞 自己可以不用卖资讯给别人就好 不容易被抓虽然说也算犯罪行为重点 1.不是犯罪 2.给钱一定要给 3. 7500美公道价 4.不想7500不当白帽可以卖黑市

纯嘘7500 无耻

有时候你就算发现了能影响全世界的bug也一样是公道价啦 要当好人就是这样 不是说你救了人一命 那个人的身家财产跟下半辈子都要交给你

至少诺贝尔和平奖可能还会考虑你一下 qq

要注意的是 未实际发生的损害估值 不等于实际产生价值看上去有人对估值随自己喊 大方大别人的方？如同前面所说 觉得要更大方 那么轮到自己在生死存亡之际被陌生人救援后 该把自己身家分出去吗“没有我你早升天了”大方不大方之前还是审慎考虑的不过我想这类只是随便说说

企业跟白帽大家都是共利啦 看起来好像因为企业个体大获得的利益比较多 值不值得看个人除了拿去卖就犯罪 但白帽还是有不讲管你去死被坏人发现的选择 也有我就是让其它人知道但我没利用这个赚钱的选择 不一定要通报公司

也不对啊 你没通报怎么能说是发现的那我也可以主张我其实也是白帽这个资金漏洞其实我也早早发现只是没讲 ？

看到某楼就想到之前台湾修改车票的骇客，告诉统联结果被告，有够可怜

弱智企业会让0day发现者白帽，不愿意共同改进。最好把exploit经过第三国洗完回原国黑市，届时洗一圈法务和两光外包系统商都不知如何是好

白痴才告白帽，是不是想搞死自己，不懂就闭嘴以为全世界都跟台湾一样智障?

他是私下提醒耶 私下提醒还告就真的太白痴了QQ