• VLMI - форум по обмену информацией. На форуме можете найти способы заработка, разнообразную информацию по интернет-безопасности, обмен знаниями, курсы/сливы.

    После регистрации будут доступны основные разделы.

    Контент форума создают пользователи, администрация за действия пользователей не несёт ответственности, отказ от ответственности. Так же перед использованием форума необходимо ознакомиться с правилами ресурса. Продолжая использовать ресурс вы соглашаетесь с правилами.
  • Подпишись на наш канал в Telegram для информации о актуальных зеркалах форума: https://t.me/vlmiclub

Баг в Steam позволял пополнять кошелек любыми суммами

M1Rz

Новостной куратор

M1Rz

Новостной куратор
Куратор
Сообщения
407
Реакции
251
10 руб.
Telegram
Steam-384x220.jpg
Компания Valve исправила уязвимость в Steam, благодаря которой баланс кошелька можно было пополнять произвольными суммами.

Об этой проблеме производителя уведомил пользователь под ником drbrix, сообщивший об уязвимости в начале августа через платформу Hackerone. В настоящее время баг уже исправлен, а исследователь получил 7500 долларов за свои труды.

В своем отчете drbrix рассказал, что для мошеннического пополнения баланса нужно было изменить email-адрес на любой, содержащий строку «amount100» (сам исследователь использовал ящик brixamount100abc@***).

Затем требовалось пройти по ссылке https://store.steampowered.com/steamaccount/addfunds и перейти к внесению средств, выбрав способ оплаты с использованием Smart2Pay, и продолжать далее, как при обычном внесении средств, выбрав, к примеру, 1 доллар. После требовалось перехватить POST-запрос к https://globalapi.smart2pay.com/ и изменить сумму на произвольную, что становилось возможно из-за имени почтового ящика.

«По-моему, последствия очевидны: злоумышленник сможет генерировать деньги и сломать рынок Steam, продавая игровые ключи по дешевке и так далее», — резюмировал drbrix.

Вскоре сотрудники Valve подтвердили работоспособность представленного исследователем эксплоита и отчитались об устранении проблемы.

В настоящее время неизвестно, знал ли об этом баге кто-то помимо drbrix, и не успели ли злоумышленники воспользоваться данной проблемой до того, как она была устранена.
 
Сверху Снизу