Valve, bir güvenlik araştırmacısının yardımıyla bir kullanıcının Steam cüzdanında bulunan paranın bedelini değiştirmesine imkan tanıyan bir açık buldu ve bu açığı kapattı. Örneğin bu açık sayesinde Steam cüzdanın bulunan 5 TL, 100 TL’ye yükseltilebiliyordu. Bu süreç, Steam hesabına bağlı olan e-posta adresinin “amount100” içeren bir adresle değiştirilmesi ve akabinde bir ödeme şirketi API’yına bir bildiri gönderilmesiyle gerçekleştiriliyordu.
PC Gamer’ın paylaştığı habere nazaran, bu açık ile ilgili makale, beyaz şapkalı korsanlara yönelik, yazılım kusurlarının paylaşıldığı bir site olan HackerOne‘da “drbrix” isimli kullanıcı tarafından yayımlandı. Drbrix, yanılgıyı birinci evvel orta öncelikli olarak yayımladı ve saldırganların bu açığı kullanarak para üretebileceklerini, Steam pazarının istikrarını bozabileceklerini ve oyun anahtarlarını ucuza satabileceklerini tabir etti.
Valve kelam konusu açığı test ettikten ve bir düzeltmeyi denedikten sonra, yanılgının ehemmiyet seviyesini kritik olarak güncelledi ve açığı bulan güvenlik araştırmacısına yapacağı ödemeyi 7.500 dolara yükseltti. Bununla birlikte Valve takımı, “Gelecekte sizden daha fazlasını duymayı umuyoruz.” formunda bir açıklama yaptı.
Valve, The Daily Swig’e yaptığı açıklamada, bu açığı bildiren kişi sayesinde, müşteriler etkilenmeden ödeme sağlayıcısıyla birlikte sorunu çözdüklerini belirtti. Bununla birlikte Valve, bu vakte kadar bu açıktan rastgele bir kullanıcının istifade edip etmediğine dair rastgele bir açıklama yapmadı.