Valve исправила уязвимость в Steam

Valve исправила уязвимость в Steam

Компания Valve исправила уязвимость в Steam, благодаря которой баланс кошелька можно было пополнять произвольными суммами.

Об этой проблеме производителя уведомил пользователь под ником drbrix, сообщивший об уязвимости в начале августа через платформу Hackerone. В настоящее время баг уже исправлен, а исследователь получил 7500 долларов за свои труды.

В своем отчете drbrix рассказал, что для мошеннического пополнения баланса нужно было изменить email-адрес на любой, содержащий строку «amount100» (сам исследователь использовал ящик brixamount100abc@***).

Затем требовалось пройти по определенной ссылке, перейти к внесению средств, выбрав способ оплаты с использованием Smart2Pay, и продолжать далее, как при обычном внесении средств, выбрав, к примеру, 1 доллар. После требовалось перехватить POST-запрос к …globalapi.smart2pay.com… и изменить сумму на произвольную, что становилось возможно из-за имени почтового ящика.

Вскоре сотрудники Valve подтвердили работоспособность представленного исследователем эксплоита и отчитались об устранении проблемы.В настоящее время неизвестно, знал ли об этом баге кто-то помимо drbrix, и не успели ли злоумышленники воспользоваться данной проблемой до того, как она была устранена.

Команда АН-Секьюрити Кибер

Мы используем файлы «Cookie» для сбора и анализа информации о производительности и использовании сайта, а также для улучшения и индивидуальной настройки предоставления информации. Нажимая кнопку «Принять» или продолжая пользоваться данным сайтом, вы соглашаетесь на обработку файлов «Cookie».
Принять