Ruby Nealon วัยรุ่นชายอายุ 16 เขียนลง Medium ถึงเหตุการณ์ในช่วงเมื่อคืนที่ผ่านมา ว่าเขานำเกมปลอมชื่อ Watch Paint Dry เป็นเกมความยาว 45 วินาที เกี่ยวกับการดูสีที่ทาไว้ให้แห้งนั้น นำขึ้นสู่ระบบ Steam โดยไม่ผ่านระบบ Greenlight หรือได้รับการอนุมัติใดๆ จาก Valve เลย
ก่อนหน้านี้เขาได้พยายามติดต่อไปทาง Valve หลายครั้งถึงช่องโหว่ที่พบแต่กลับไม่ได้รับความสนใจ เขาจึงได้นำเกมขึ้นสู่ระบบ Steam เพื่อแสดงถึงช่องโหว่บนระบบ Steam
เกมถูกเพิ่มผ่านทางบัญชี Steamworks ที่เขาได้มาด้วยวิธีที่ไม่เปิดเผย แล้วนำเกมขึ้นสู่ระบบ ในกระบวนการนำเกมขึ้นมีขั้นตอนหนึ่งที่พนักงานของ Valve ต้องอนุมัติเกมก่อน แต่เขาแก้ไขค่าในแบบฟอร์มการเปลี่ยนสถานะของเกมให้เหมือนว่าเป็นพนักงานยืนยันเอง (รายละเอียดหาอ่านที่ Medium ท้ายบทความครับ) ตัวเกมปัจจุบันถูกนำลงจาก Steam แล้ว
จากกรณีนี้จะเห็นว่า Steam ไม่ได้เขียนระบบให้ตรวจสอบคู่ไปกับสถานะของผู้ใช้ระบบด้วย ทำให้การแก้ไขเว็บฟอร์มนั้นสามารถทำงานข้ามสิทธิ์การใช้งานได้เลย นักพัฒนาเว็บแอพทั้งหลายควรระวังตรงนี้กันด้วยนะครับ