Valve исправила уязвимость Steam, позволявшую пополнять кошелёк на любую сумму
Компания Valve наградила работающего в сфере информационной безопасности исследователя с ником drbrix денежным поощрением в размере $7500. В такую сумму разработчики оценили обнаруженную им уязвимость, эксплуатация которой позволяла злоумышленникам корректировать баланс кошелька Steam по своему усмотрению.
Согласно имеющимся данным, для эксплуатации упомянутой уязвимости пользователю Steam требовалось привязать к своему аккаунту почтовый ящик, в названии которого содержалось «amount100». После этого при совершении платежа через систему Smart2Pay с помощью соответствующего эксплойта злоумышленники могли перехватывать POST-запросы для редактирования суммы внесённых средств.
Исследователь предоставил Valve подробную информацию касательно способа эксплуатации уязвимости, после чего специалисты компании подтвердили наличие проблемы. На данный момент уязвимость уже устранена, а исследователь получил вознаграждение за её обнаружение. Разработчики не сообщили, фиксировались ли случаи использования данной уязвимости на практике или же проблему удалось решить до того, как ей смогли воспользоваться злоумышленники.
«Спасибо за этот отчёт. Он был чётко написан и помог выявить реальную проблему для бизнеса. Мы изменили оценку данной проблемы на «критическую», что отражает потенциальные потери для бизнеса, а также выплатили соответствующее вознаграждение за её обнаружение», — говорится в сообщении Valve.