7 500 долларов за эксплойт на бесконечные деньги в Steam

Исследователь в сфере информационной безопасности под ником drbrix обнаружил уязвимость, которая позволяла пополнить кошелек Steam на неограниченное количество средств. Valve исправила проблему, а нашедший эксплойт пользователь получил вознаграждение в размере 7 500 $. В новости также описан пофикшенный механизм получения бесконечных денег.

Обнаружил эксплойт на бесконечные деньги в Steam один из пользователей сервиса HackerOne с ником drbrix. Для этого необходимо указать в учетной записи Steam электронную почту, в названии которой содержится “amount100”. Далее выбрать платежную систему Smart2Pay (голландская компания, предоставляющая платежные услуги) и создать заявку на один доллар (минимальная сумма). После перехватить соответствующий POST-запрос и отредактировать данные, указав гораздо большую сумму, которая и поступала на счет.

Благодаря этому отчету Valve смогли устранить уязвимость без последствий для пользователей:

Благодаря человеку, который сообщил об этой ошибке, мы совместно с поставщиком платежных услуг смогли решить эту проблему без каких-либо последствий для клиентов... Спасибо за этот отчет. Он был грамотно составлен и помог выявить реальную опасность для бизнеса. Мы изменили оценку данной проблемы на "критическую", что отражает потенциальные потери для бизнеса, а также выплатили соответствующее вознаграждение за ее обнаружение.

Представитель Valve

Платежная система Smart2Pay пока никак не прокомментировала ситуацию. Также не сообщается, успел ли кто-то воспользоваться эксплойтом.

Источник