Valve устранила уязвимость, которая позволяла пополнять кошелёк в Steam неограниченным количеством средств.
Уязвимость была выявлена и устранена Valve в течение несколько дней после её обнаружения. Нашедший её исследователь безопасности под ником drbrix получил награду в 7500 долларов.
Для пополнения кошелька неограниченным количеством средств, злоумышленнику нужно было изменить почту в своём аккаунте Steam на email-адрес, включающий в себя значение «amount100», и подать заявку на добавление средств в свой кошелек, выбрав в качестве оплаты Smart2Pay с минимальной суммой в размере 1 доллар. После чего злоумышленник перехватывал соответствующий POST-запрос и редактировал отправленную сумму платежа на гораздо большую.
