Злоумышленники могли пополнять баланс Steam на любую сумму

Пока мы с вами в России просто не можем пополнить баланс кошелька, мошенники могли пополнять его на абсолютно любую сумму.

Исследователь drbrix нашёл очень занимательную дыру в безопасности системы платежей SteamPay. Он обнаружил, что если у злоумышленника к аккаунту был привязан email-адрес, который в начале имеет фразу “amount100”, то он при определённых манипуляциях мог изменить текст POST-запроса, исправив внутри него переводимую на счет сумму.

Причем, при корректировке запроса, например, с “2000” на “2=000”, где вместо 00 можно было указать требуемую сумму, хэш всего запроса не менялся и его валидация проходила успешно. Таким образом можно было стать миллионером в Steam и не факт, что несоответствие сразу было бы обнаружено.

Исследователь передал информацию Valve и получил от неё в качестве награды 7500 долларов, как максимально возможную выплату в рамках программы по выявлению уязвимостей. Для уязвимостей в клиенте цифрового магазина, CS:GO, Dota2, Team Fortress 2, Dota Underlords, Artifact, Half-Life: Alyx минимальная выплата начинается от 200 долларов и заканчивается 7500. На мой субъективный взгляд, за такую критическую уязвимость компания могла бы заплатить немного больше, либо дополнить выплату в 7500 чем-то, вроде Steam Deck.

Следите за нами в сети:

Поделиться записью
Комментарии 0

Комментарии