鯨樂丨文

近在一位名為Drbrix的駭客公佈了一則訊息，稱他發現了一個能修改steam錢餘額的漏洞，V社方面也迅速做出了反應，對這個漏洞立即著手排查並進行了修復。

Drbrix也為此獲得了7500美元的獎金

Drbrix在HackerOne網站上報告了該漏洞，稱他發現，這個漏洞允許非法的“攻擊者”修改餘額，方法是透過將賬戶的電子郵件地址更改為包含“amount100”的電子郵件地址，再將支付方式選為Smart2 Pay，然後攔截髮送到支付公司API的訊息來實現的。

之後這些“駭客”就可以任意地修改steam錢包裡的餘額了。

Drbrix在漏洞捕捉平臺HackerOne上釋出了這則訊息，Valve和Drbrix在對漏洞進行排查和修復後，對漏洞的危險程度做出了評測，Drbrix認為該漏洞處於“中等”級別，他認為這個漏洞影響非常明顯，那些圖謀不軌的【攻擊者】可透過隨意修改Steam錢包的餘額來購買其他遊戲的金鑰，並將它們以低價銷售出去，從而影響遊戲行業市場。

V社方面在做出檢測後，將該漏洞升至“嚴重”級別，立即修補了這個漏洞，並向Drbrix支付了7500美元的酬金，以表達對他的感謝。

V社方面的發言人表示：

“感謝報告這個漏洞的技術人員，我們已經與Smart2 Pay方面合作解決了這一問題，不會對Steam的玩家們產生影響。“

不過v社也並不是一直能作出迅速反應，早在2019年4月一個名為secret club的安全研究小組就曾發現了Steam平臺上的一個安全漏洞，但是V社方面直到兩年後的5月（2021年5月）才對這個漏洞進行了修復。

secret club方面稱“攻擊者”可以使用Steamwork API結合起源引擎的功能，透過惡意的Steam遊戲邀請獲得遠端程式碼（RCE）。

Smart2 Pay方面尚未對此做出評價和迴應，也許他們對此還沒有太多重視程度，當然後續有新的進展也會報道出來。

也許有人會好奇HackerOne是一個怎樣的網站？

可能一些人知道國內的“烏雲網”（成立於2010年左右），HackerOne跟它就差不多，這裡簡單介紹一下HackerOne是一家成立於2012年的網路安全檢測公司，他們總部建立在美國舊金山，在荷蘭有一個分部。

國際知名企業都有向他們寄出委託函，包括像雅虎、推特以及臉譜（facebook）等公司。

2019年統計HackerOne上註冊的駭客已有超過了100萬位，他們來自150多個國家。

他們已經在這幾年幫助幾百個企業找出2萬多個漏洞。

有很多駭客在此期間賺到了不菲的賞金，2020年就有一位一年內獲得了總計200萬美元的酬金，HackerOne稱得上是真正的駭客和企業“互利共贏”的平臺。

美國國防部也與HackerOne有過幾次接觸和合作，以此檢驗那些儲存著國家安全資料的伺服器不會有致命的漏洞。

大家都知道前些日子國產遊戲《弈劍行》收到了名為“ACCN”駭客組織的威脅，他們對遊戲的伺服器發起了DDoS攻擊，並索取一萬五千元的“保護費”，《弈劍行》的服務也被迫暫時中止，很多人對此感到憤慨。

在這個“萬物互聯”的時代，人們也生活在資本編織的資訊繭房裡，幾乎無時不刻自己的私人隱私就會落入他人的口袋。

這些“珍藏”在那些安全防護老舊的伺服器裡往往就會被別有用心的人盯上，有的人肆意破壞掠取這些資料將他們作為收穫財富的門路。

而有的人也會致力於提醒、保護因此帶來的損失，“白客（白帽子）”就是對他們的稱呼。

有時候我們稍不會將私人資訊洩露出去，有心的收集者將它們儲存起來，積少成多。

就容易造成嚴重的安全問題。企業如果不重視這樣的安全問題，內部的安全部門不予以重視，行業內沒有積極的競爭環境，長此以往安全問題和個人隱私權的問題將會更加嚴峻，直到最後將只有使用者們承擔風險和後果，白客（白帽子）的出現就是為了避免這些發生

“白客”們在安全問題上做出了貢獻，在國內就曾經有過像“烏雲網”這樣的漏洞檢測網站，他們向民間的技術人員提供能為企業服務的平臺，在這裡“白帽子”們大展身手，企業頗有收益，使用者們的網路安全也得以落實。

在2011年就有數千名平臺註冊“白客”，解決了近4000個安全問題。

只可惜由於之後出現了資訊洩露問題，在2016年由於和世紀佳緣產生法律糾紛，網站宣佈暫停更新，之後似乎逐漸銷聲匿跡。

不可否認烏雲網在2016年前在國內的網路問題上做出了傑出的貢獻，他們曝光了攜程網洩露了公民信用卡資訊，發現12306乘客資訊遭大量洩漏的問題。

只可惜，他們在歷史舞臺出現的時間太過短暫，比他們晚建立的HackerOne已經運營了十年餘，還繼續在行業內放光發熱。