※ [本文轉錄自 C_Chat 看板 #1X6UBY_P ]
作者: SuperSg (○(#‵ ︿′ㄨ)○森77) 看板: C_Chat
標題: [新聞] 駭客找出Steam錢包無限資金漏洞
時間: Mon Aug 16 12:00:31 2021
https://bit.ly/37M013S
駭客找出Steam錢包無限資金漏洞，Valve緊急修復
任何含有線上儲值付款功能的電子平台皆可能有漏洞風險，Steam 也不例外。上週
Hackerone 賞金平台有一位駭客發布了 Steam 的錢包系統存在一個漏洞，令其可在某個
帳號底下無限生成資金，該功能經 Valve 確認後已緊急修正，並支付 7,500 美元的報酬
給該駭客。
根據 Hackerone 報告，代號 Ddrbrix 的駭客在 8 月 9 日私下提醒 Valve 注意錢包系
統漏洞，這個漏洞的原理基本上是攔截任何利用 Smart2Pay 支付方式的交易，修改儲存
資金的金額 —例如 1 美元改成 100 美元— 幾乎是 Steam 平台的偽鈔技術了。
「我認為影響非常明顯，攻擊者可以此來賺錢，破壞 Steam 市場，用以低廉的價格出售
遊戲序號等等，」Ddrbrix 在報告中表示。
之後，Valve 官方人員快速測試該漏洞後緊急修復，並感謝這位駭客找出致命的漏洞，支
付 7,500 美元作為賞金。
許多遊戲發行商皆有與 Hackerone 的駭客進行合作找出漏洞，例如任天堂、Rockstar
Games 或 Riot Games，而 Riot 還曾為自己旗下的《特戰英豪》反作弊程式「Vanguard
」準備祭出 10 萬美元的賞金給發現漏洞的白帽駭客。
=====
在買遊戲的遊戲中開錢無限，大概是這個意思

Show me the money

純愛

這反應真快

開金手指

7500美刀有點低哩....

greedisgood

還能用就能把steam遊戲買齊破關了

7500元耶 好羨慕

才給7500

7500就打發掉 真廉價

你各位覺得要多少？

20萬還不錯吧

真用這個BUG灌錢是犯法且帳號會被封鎖吧.

不能用價值看吧.難道我撿到別人家鑰匙還回去要索取對方50%家產嗎

給獎金已經夠給面子了 這種駭客是實打的犯罪 就算靠這方式獲利也會被追討

好險被發現

算其中的一成好了 那麼買遍steam遊戲需要兩百萬台幣嗎

終於能RTA這個買遊戲的遊戲了？

很多白帽本來就做功德的吧

白帽也被說犯罪 笑爛

絕對超過200萬台幣...

才7500美

16樓在說什麼...本來就是遊戲公司和平台合作

行為上要說他犯罪也沒錯啊 就只是要不要告的問題 真要告絕對可以 只是留他們免費幫公司debug更符合利益罷了

這種賞金你不給人，等等被真正的壞人弄翻

7500真的有點少

找到漏洞但沒有濫用犯了什麼罪來著

找到漏洞不代表有進行破壞啊 有漏洞是你的問題

笑死 我的程式有漏洞被發現了，我要告死發現的人

16樓根本不知道什麼是白帽駭客吧 你自己去google

至少給10萬美吧？這算很嚴重的欸

有人是非黑即白的，駭客就是駭客，管你黑帽白帽

找到漏洞要完全排除使用過它幾乎不可能吧 行為上要完全不給人能告的空間很難吧

某樓可能沒什麼網路知識，就別跟他計較了

沒被告就很好了還嫌錢少喔

笑爛，我們來解決發現問題的人，是這個意思嗎

還犯罪哩 笑死

才講沒多久又一位認為所有駭客都是黑的人出現了

沒加碼送遊戲喔

那當屁白帽，反正都會被吉

你敢告白帽駭客的話 就不會有白帽跟你合作了 剩下黑帽搞你這跟醫生動手術你就一定要告他傷害一樣好笑

好歹給個一萬以上吧甚至給個十萬也不為過

我又沒說他是黑的 只是說站在公司的立場可以完全不給錢也不給予任何感謝 白白收下這個資安debug的結果

法律上是不行沒錯 道義上他救了G胖 7500跟v社比起來

有也不會用 不用花錢的steam還有什麼樂趣？

人家特地來通知你哪裡有漏洞 你告他？你是不是覺得多一個來攻擊你的人會比較爽？

我們公司絕對不跟恐怖分 我是說駭客談判

也是有聽過先把錢幹走，你付錢才還你的啦，但是這種就

你這種講法就跟你出門時鄰居提醒你門沒鎖，你還靠北鄰居

跟你講你家窗戶破了還要被屋主告?笑死

到底在講三小啦，要死是屁都不吭的把漏洞修好，就可看下次人家找到漏洞會不會告訴你

說法律上不行的說說是犯了那條法律啊

https://www.ithome.com.tw/news/139868比如說大家最愛的M$

白帽出發點不談啦，哪知道人家原始動機是想挖bug圖利還真的只是想抓蟲？

可能有讓駭客選遊全遊戲免費玩 vs 折現，兩種選項？

但他告訴遊戲公司，就該有賞，有沒有用bug圖利，那是另一回事

提供專業技術就是值得分享利益，有問題嗎?

你這點獎勵都不肯給，還要告他，以後真的沒白帽幫你抓蟲了

喔喔，你的意思說是挖bug偷用，但是這個行不通公司一下就發現了，而且這就真的有法律問題了

才給7500？

7500其實滿少的

steam這種靠網路平台賺錢的，怎麼可能不瞭解白帽駭客文化？ 某樓的公司立場，顯然不適用網路平台公司。

好像有人以為駭客本身就是違法的存在，笑死

j仁兄要檢討白客駭帽前，請先檢討G胖底下的工程師為何沒

你了解的公司文化顯然缺乏與白帽駭客互動這塊

7500只是象徵意義而已啦==

笑死 白帽被說成是犯罪 有夠可憐

白帽子打我小學生時就聽過了，不懂得就別出來嘴砲了

反正你也沒時間玩…

會用白帽表示本身就已經沒有惡意了...

這漏洞影響很嚴重，要慶幸沒被公布

7500美應該是單純發給該位白帽的獎金，G胖公司有在跟該組織合作表示應該本來就有贊助金之類的，可能組織本身也會

公司為了長期利益當然給白帽好生養著啊 只是說賞金多寡就公司隨意啊 它沒有義務一定要給白帽任何金錢或福利啊

給予獎勵金之類的

駭客不能做慈善喔 = = 會這樣告知本來就沒打算洗錢吧

不知道白帽就算了還一直在嘴硬 到底？

不要嘴砲啦，乖乖承認不懂有這麼難喔？

沒有義務?是啊，看看上面那個網址，錢少給了就把自己找到

沒給錢可以啊 只是你說人家是在犯罪欸

樓上一堆鬼島邏輯 : 告幫你找bug bounty 的白帽

7500只是檯面上的啦 底下流動一般人不會知道

自己養的debug team一個月就不只7500了還不一定抓得到

給太少了吧

7500聽起來就像績效那樣的獎金吧，這些白帽應該平常就有固定的薪資了

白帽又不是受僱員工哪來的工資???

還以為是SpiffingBrit

白帽有些是興趣在挖蟲，人家有其他正職

好了啦 犯罪兩個字都打出來就不要再遮了 無知不是問題 不願意承認無知比較可怕

反正我主要是要說7500太少這件事 完全沒立場吵 因為公司有給錢就已經是很佛了 它完全沒有付這錢的義務在

白帽很多做功德的耶

沒人給台階下，當然要繼續嘴硬，還扯到公司幹嘛給錢感謝白帽駭客，搞不清楚狀況的人當然搞不清楚狀況

題外話 他們這類團體大多會跟公司合作幫忙找漏洞 我之前公司做網路相關產品 去類似機構測過一次 測完真的可以幫你抓一堆軟硬體破解手法出來 費用那時候是付了5萬鎂

被人看沒有而已啦，一個大公司幫他省了多少錢結果才給一點打發，根本不尊重專業還在還很佛www

公司是沒這個義務給錢 不過人家不是你養的也沒欠你 不給就準備花更多擦屁股

白帽通常公布的時候官方早就修了

人家valve在懸賞網站開懸賞，啊真的有人達成條件了推文又有人在說不用付那筆錢，是不是當懸賞是放屁啊

因為白帽發現Bug時一定是先聯絡官方，等確定修好後再跟官方共同公佈有關這個Bug的事

7500應該是依照那個蟲的等級去定義的，我們外人可能覺得危險，但是定義的人可能覺得就7500的價值

公司當然沒必要付錢給白帽啊 但是下次exploit就直接賣給

十六樓好了啦

一下說錢太少 一下又沒義務給錢 我真的快笑死

獎金擺在那，你不爽拿可以用這個漏洞轉黑錢啊。

SpiffingBrit XD

人家公司在懸賞網站開的頁面啦，裡面回報的不只一筆，沒義務大師快點來判斷一下這些有沒有義務給錢

從新聞來看這案子似乎不是合作 所以才說抓蟲過程也可能有犯罪的可能 而且最主要是他抓到蟲除了告知公司領賞外沒有有其他合法變現的可能

也有可能這Bug使用難度高的關係，不是隨便一個Steam玩家看懶人包就立刻會用的狀況，所以獎金才會有認知上的落差

怎麼變成犯罪的可能了?不是說是實打的犯罪嗎?

那j仁兄邏輯蠻悲哀的，把所有人都當做賊去防範，不願相信

看推文就知道台灣為什麼會是鬼島了 先解決敢提出問題的人難怪三不五十能看到指鹿為馬 國王新衣的事情

有人是好心主動幫忙，就算是為了除蟲獎金，該人有做了什

給抓bug獎金google和微軟這些科技公司都有

以valae的規模7500就是在羞辱人啦

公司沒義務付錢 白帽也沒義務主動告知阿

一開始就說白帽這樣是犯罪，後面怎麼扯都是屁了啦，幫人抓蟲還要被當罪犯

白帽也不是只靠賞金為收入,靠名氣拿固定收入也很重要

所以大公司才會懸賞bug鼓勵人家告知

新聞沒採訪這位白帽，所以無法得知7500到底對他而言是多還少，如果真認為少的話可能早就講話了吧

至於錢的問題真的沒必要討論 人家覺得少可能下次就不幹而已

我從頭到尾都在說賞金太少的爭議 抓語病打也很無聊啊 會提犯罪只是在說抓到蟲也沒有其他輕鬆變現的管道 到頭也只能看公司良心給多少就多少

怎麼會沒變現可能 把方法拿去賣一定會有人出更高價

醫生幫你開刀 你告他傷害罪的概念

另一個可能是人家想要的是名氣而不是錢，畢竟可以找到該

駭客怎麼懂行情 推文說不夠就不夠 懂

你說實打實的犯罪 然後現在說別人是抓語病ww

公司的工程師找不到的Bug，而且公司規模那麼大

少的也不能怎摸樣因為真的不是義務，但丟臉的是valve之後我看願意幫助的白帽都要沒了喔

說7500美元少的，有多少人是真的可以當下拿出7500美元

資格認證大師又要變成語病大師了喔，讚讚讚

16樓好了啦，冷靜一下再看自己說的話，不要秀下限

輕鬆變現的管道?以這種程度的工程師，你真認為找不到地方賣情報嗎?不要在那邊把臉伸出來給人打好嗎

7500有很多嗎?你要不要看一下美國那邊的工資開多少?

拿去賣就真犯罪啦 我原本想表達是要拿這bug變現就一定會犯罪 所以他根本沒有除了回報公司以外的選擇

你這個又講錯了，誰說賣情報就一定是犯罪?

不知道變現不變現有什麼好吵的 人家搞不好根本不在意這些錢 旁邊喊什麼燒啊

好猛

玩手遊發現有bug所以上來po文問 這樣犯罪了嗎

16f就台灣老闆的思維吧你發現我網頁的bug 我要告死你^^

某推文真的讓人開眼界

我看到機車鑰匙沒拔 幫他拿下來放到前面置物櫃 請問我犯罪了嗎

看到朋友沒在七夕陪他女朋友所以我幫忙陪，請問有犯法嗎

幹嘛跟那個id認真 只會一直跳而已

樓上比喻錯誤喔，白帽只有告知車主沒有動手拔鑰匙喔

凹成這樣還不如不要回冷處理，回推回到這麼沒下限，是不是不知道什麼叫丟人現眼？

有夠寒酸 7500

最一開始不就一口咬定是犯罪嗎

犯罪ww16摟先去查查白帽駭客是什麼好嗎

10萬美我都不覺得多...7500是打發叫化子?

跳針無敵 別人說一句拿十句抵 我以為來到八ㄍ..咦?

一般漏洞獎金會根據攻擊手法以及危害程度來決定

說真的少的大概是半懂吧黑客沒有立場去跟公司要更多公司願意給他ok就結案了要更多等等被起訴 再公布漏洞不是雙輸嗎黑客都有自己底線在

羨慕

在台灣你會被告

他給多少當然都沒錯，我只覺得你那麼大公司讓人看低

又多了一個跳針id 可以黑單了嘻嘻

奇怪，拿錢的都沒說什麼了，旁邊在喊很少是怎樣

7500真的給得有點少

好歹加個0

16樓笑死，還 實打 勒

給的少就是提高下次駭客利用漏洞搞你的機會啊 看公司要怎麼衡量囉

那賞金也太便宜了吧

笑死被打臉還一直跳針 哭哭哦 哈哈

駭客賺進二十幾萬

要更多錢不會被起訴好ㄇ，這種本來就類似僱傭關係（類似冒險者接案XD），要求加點薪是ok的

為啥一堆人覺得7500美很少

某樓秀下限 這就像是張貼尋狗啟示 別人幫你找到狗然後還說沒必要給對方回報 有夠好笑

因為真的蠻少的，這個損失上限很高，fb之前斗內漏洞給

有時候追求的不是金錢 而是我先發現

1萬美，特斯拉1元換400萬汽車給4萬美樓上講的那個最近就有實例了，有個盜了價值6.1億美元

我也覺得7500有點少 不過可能也是V社他們對自己bug的嚴重程度去決定賞金的

的加密貨幣他全還，官方給50萬美元賞金他不要

fb跟特斯拉的規模都不知道比valve大幾倍== valve公司沒有上市 員工大概也才三百多人

不給的話下次找到的漏洞搞不好更嚴重 給了還能刷一波

不能刪留言的好處就是可以看到有人一直跳針xD

駭客對金額表示過意見嗎？

醫生開刀一定都犯了傷害罪 阿原來有人說過了

台灣公司，你居然發現有漏洞，不管真的假的先把你告上法院。

某樓邏輯太秀了吧，跳針之鬼

7500美XD

被密醫醫好之後告傷害 真賺

7500超少吧

總是有不懂裝懂的拉不下臉

檯面上白帽 檯面下黑帽:)

白帽子就是賺心安理得的賞金，不是所有人會去違法

跳針笑死XD你乾脆說臥底警察也要照組織犯罪條例抓去關好了。

好了啦 笑死

這麼大包的漏洞 7500美???

就寫合作的賞金平台了還在耍什麼白癡 去讀書啦

覺得多一個零價位才差不多這種漏洞很重要 但駭客找漏洞的工作不是天天有價格太低是叫駭客沒工作時要吃自己?

上面都有人貼hackerone網址了，點進去看就不用吵了https://i.imgur.com/6FUFcqQ.pnghttps://hackerone.com/reports/1295844

還好他沒直接買那個 全遊戲整合包

攔截 request 修改儲存金額就行？涉及金流後端還沒驗金額確認喔這 bug 有點誇張

可以把所有遊戲+DLC全部包了，能課金的全部課爆

Riot果然是佛心公司所有獎金都20000起跳

沒想到還有如此貼近現實的show me the money

你沒說他黑的 都說犯罪了 ？ 腦子不好使是吧

發現不懂就閉上嘴，一直扯有夠難看= =

好少。

發獎金不錯了 蘋果公司直接報警

轉過來的文章，推文已經有一堆狀況外的結果這邊還是有

這麼大的漏洞給個十萬也是應該的

七千五有點少了 還有樓主牛頭人那些狀況外的人是本來邏輯就不同常人 不要太意外

這麼嚴重的漏洞7500鎂喔 這隨便開個代購賺都超過吧

白帽根本就是防盜工程師

想賺錢就不會當白帽了

稱不上太大漏洞吧，這種後續補救蠻簡單的，就通通鎖帳實體商店的話才比較需要擔心這種事

公道價就是7500啊 484很多人還是看不懂

白帽駭客跟各大資安公司都有在合作已經算是一門高專業性的職業了 結果被鄉民講成這樣 笑死

給獎金就是對雙方都好的結果，金額夠多使駭客認為私下利用漏洞不划算

公道價

至少Valve肯給 之前Google說好要給還不給

想說推文怎麼那麼沒水準 原來是西洽轉來的

Show me the money G胖版

7500鎂好少

如果以 一成來說 7500美的比例是差不多了

7500當然不是知道行情 而是覺得自己如果這麼厲害希望能更多看到這篇最大的用途就是多整理了幾本牛頭人 就這樣

主要討論點是 這並非對價關係啊我後來有在後面提到了 酬謝並非有實質對價未發生行為不能做為對價根據路邊撿到200萬 不能因為「你如果後謝要給我更多 連200萬都拿回來」我們並不知道兩造間是怎麼決定的太高 或是 太低 在沒有對價關係的前提下真的只是各人喊各人爽的

玩steam也開掛

牛頭人是什麼意思？

拼音輸入 牛(N)頭(T)人(R) 等等警察就要來了

佛心公司，反觀

這漏洞當初要是賣到黑市，我看不只7500鎂

黑客 駭客

vlave的損失≠你的漏洞獲利

懸賞漏洞明標價碼不是很正常嗎

我是沒看這麼細啦 本回事情本身有懸賞價碼嗎我以為這個事件本身並沒有懸賞 所以說這不是對價關係但無論如何 別人的漏洞不是作為自己得利的應當就像銀行提款機故障不停吐鈔儘管問題不在於自己 但也不能因此主張這些多出來的吐鈔歸於自己程式漏洞造成的假資金也是一樣的

steam跟大部分的企業一樣漏洞是用cvss評分 每個等級的漏

倒不如說 如果 我是說如果這名駭客告知valve「不更大讓利就轉賣」屬實則侵害責任是他要扛 怎麼說這鍋都太大了

洞有他的價格在

喔 這個評分的話 7500美算高的了我記得hackerone有這個表格 9分級也有1500goohle倒是有獎勵金制度 只是不清楚詳細

前面推文...

我記得steam你幫他抓漏洞它價格都有分級標好了什麼等級就給多少錢

16樓羅輯就是 我家門沒關，誰來提醒一聲我們沒關就告死他

上面推文網址不就有寫Steam懸賞最高只開到7500嗎？就是明定價碼了 外人看來應該給更多可能也沒辦法多給而且駭客應該也是接受這個價碼才去挖漏洞的

哇操太爽了吧

用台灣的思維只會被當成罪犯，國外當成資安研究人員7500美金解決這件事確實是便宜，不然他拿去賣給其他黑客組織用公司損失更大steam版 無限金錢XD

整天幫別人嫌獎金太少才真的笑死

照你的邏輯漏洞別人找的、也已經補好 大家除了喔還能推啥還有請介紹一位整天嫌別人獎金太少的人推發文紀錄給我看看不然你也只是成天找東西擅自笑死走開的那種 (ﾟ∀。在我們業界對於這種路上忽然笑出來的人都稱之為

一堆人不懂裝懂，本案其實是比較像，你會給一個跟你說你家二樓洗澡間水沒關的人多少錢!或者跟妳說你老婆沒穿內褲?給的是小氣，但是很多人不給還會生氣.報官抓也很有可能

扯更遠了 厲害厲害前面推文真的不想看 主要分三種人1.講錯不認繼續硬凹的jupto2.吃瓜群眾只是想說7500合不合自己價值觀 3.各種價值觀錯亂的提出一些奇怪形容2類居然能衍伸出其他話題 主要是大量3類在發威兩軍作戰 打一打發現變世界大戰 從拿槍的到拿掃把的大媽都來主要可怕的不是不知道行情 而是那些第一時間就想拿東西的價值爭論我要是XXX可以是多少 這種無限接近幻想的行為來爭論

一如我前面所說 對方估計損失 ≠ 你該獲得的

都用hackerone 平台還犯罪 笑死 這不是自己私底下去破的好嗎? 廠商-平台-白帽機制不懂?抓到蟲要賣一定是可以賣的 還這麼大的蟲 賣黑市不難只是白帽不做這種犯罪行為漏洞平台有一套機制 bug怎麼分級 什麼程度給多少錢是有一個公開的機制的找到漏洞 自己可以不用賣資訊給別人就好 不容易被抓雖然說也算犯罪行為重點 1.不是犯罪 2.給錢一定要給 3. 7500美公道價 4.不想7500不當白帽可以賣黑市

純噓7500 無恥

有時候你就算發現了能影響全世界的bug也一樣是公道價啦 要當好人就是這樣 不是說你救了人一命 那個人的身家財產跟下半輩子都要交給你

至少諾貝爾和平獎可能還會考慮你一下 qq

要注意的是 未實際發生的損害估值 不等於實際產生價值看上去有人對估值隨自己喊 大方大別人的方？如同前面所說 覺得要更大方 那麼輪到自己在生死存亡之際被陌生人救援後 該把自己身家分出去嗎「沒有我你早升天了」大方不大方之前還是審慎考慮的不過我想這類只是隨便說說

企業跟白帽大家都是共利啦 看起來好像因為企業個體大獲得的利益比較多 值不值得看個人除了拿去賣就犯罪 但白帽還是有不講管你去死被壞人發現的選擇 也有我就是讓其它人知道但我沒利用這個賺錢的選擇 不一定要通報公司

也不對啊 你沒通報怎麼能說是發現的那我也可以主張我其實也是白帽這個資金漏洞其實我也早早發現只是沒講 ？

看到某樓就想到之前台灣修改車票的駭客，告訴統聯結果被告，有夠可憐

弱智企業會讓0day發現者白帽，不願意共同改進。最好把exploit經過第三國洗完回原國黑市，屆時洗一圈法務和兩光外包系統商都不知如何是好

白癡才告白帽，是不是想搞死自己，不懂就閉嘴以為全世界都跟台灣一樣智障?

他是私下提醒耶 私下提醒還告就真的太白癡了QQ