Sicherheitslücke in Steam erlaubte einem Hacker das Generieren von unendlich viel Guthaben

Ein findiger Sicherheitsforscher hat auf der Plattform Hacker One eine Sicherheitslücke veröffentlicht, die es theoretisch ermöglichte eine unbegrenzte Mengen an Steam-Guthaben (ab 20 Euro auf Amazon) zu generieren, ohne dafür auch nur annähernd den vollen Preis zu bezahlen. Die Manipulation der Abfragen, die beim Kauf von Steam-Guthaben stattfinden, erwies sich dabei als relativ simpel.

So beschreibt der Hacker in seinem Post, dass hierfür nur die Verwendung einer bestimmten E-Mail-Adresse nötig ist, um sich eine beliebige Summe an Guthaben auf der Gaming-Plattform zu ergaunern. Vereinfacht dargestellt muss in dieser E-Mail-Adresse lediglich der Begriff "amount5000" auftauchen, wobei die Zahl hinter dem Wort "amount" für den beliebigen Betrag steht, den der Nutzer letztendlich gutgeschrieben bekam. Sobald diese Adresse bei Steam hinterlegt ist, müsse nur eine kleine Transaktion in Höhe von einem Euro ausgeführt werden, um die in der E-Mail-Adresse enthaltene Summe auf das eigene Steam-Konto gutgeschrieben zu bekommen. Der Hacker hatte diesen Fehler auch in der Praxis einmalig ausgenutzt, aber lediglich um seine theoretische Ausarbeitung zu untermauern.

Der Exploit klappte angeblich bei allen Zahlungsmethoden, die auf dem Smart2Pay-System basieren. Valve hat die besagte Sicherheitslücke mittlerweile geschlossen und sich bei dem Hacker mit einem Finderlohn über 7.500 US Dollar (circa 6.370 Euro) bedankt. Das Happy End dieser Geschichte zeigt auf, dass sich ehrliches Verhalten auch im Internet ab und zu lohnt. Immerhin hätte sich der Hacker mithilfe des Exploits mit tausenden, praktisch kostenlosen Keys für diverse Spiele aus dem Staub machen können.