Уразливість в Steam дозволяла «накрутити» собі будь-яку суму поповнення для гаманця

В Steam виявили уразливість, через яку деякі користувачі могли забезпечити собі поповнення рахунку на необмежену суму. 

Про це повідомляє HackerOne,- передає Інформатор .

За виявлення цієї проблеми дослідник безпеки під ніком drbrix отримав винагороду в розмірі 7 500 доларів. Уразливість працювала так, що зловмисник міг збільшити суму поповнення свого гаманця при відправці запиту. Тепер же проблема усунена, і експлойт більше не працює. 

Принцип роботи у уразливості був досить складним. Зловмисник мав поміняти адресу електронної пошти в своєму акаунті Steam так, щоб в новій адресі було значення «amount100». Далі треба було подати заявку на додавання коштів у свій гаманець. В якості оплати треба було вибрати Smart2Pay (голландська компанія, яка надає платіжні послуги в Інтернет). Треба було також вказати мінімальну суму поповнення в 1 долар.

Далі зловмисник перехоплював свій POST-запит до Smart2Pay API і редагував в ньому відправлену суми платежу. За допомогою цього можна вказати собі набагато більшу суму. Працювало це тільки тоді, коли в електронному листі облікового запису Steam є значення «amount100», а перед відправкою підробленого запиту треба було поміняти його на вихідне. 

Нагадаємо, що в мережі з'явилися дати проведення трьох найближчих розпродажів в Steam, які є найбільшими, що пройдуть цього року . 

Підписуйтесь на наш Telegram-канал,щоб не пропустити важливі новини. За новинами в режимі онлайн прямо в месенджері стежте на нашому Telegram-каналі Інформатор Live.Підписати на канал у Viber можна тут .