Найдена уязвимость, позволявшая бесконечно пополнять кошелёк Steam на любую сумму
Обнаружил эксплоит исследователь кибербезопасности под ником drbrix. Обманывая платёжный сервис Smart2Pay, который использует Valve, он мог пополнять свой кошелёк в магазине игр на любую сумму, тратя при этом по 1 доллару (73 рубля) при каждой транзакции, сообщает NME.
Для этого было достаточно привязать электронную почту со строкой «amount100» к своей учетной записи Steam. Затем нужно было пополнять свой кошелёк обычным способом, хоть на 1 доллар. Но используя эксплоит, злоумышленники могли перехватить POST-запрос (данные, отправляемые на сервер) и просто отредактировать его, изменив при этом сумму платежа.
Сообщается, что Valve уже заплатила специалисту, нашедшему эту «дыру» награду. Она составила 7,5 тыс долларов (около 550 тыс рублей).
© Ferra.ru
