В Steam нашли эксплойт для бесконечного добавления денег на счет
Valve оценила нахождение уязвимости в $7500.
Кстати, на сайте читать удобнее
Исследователь безопасности под ником DrBrix обнаружил в Steam уязвимость, позволявшую бесконечно пополнять счет игрока. Эксплойт был найден 9 августа, вскоре Valve исправила его, выплатив DrBrix вознаграждение в $7500.
Уязвимость была связана с платежным сервисом Smart2Pay, использовавшимся Valve. При пополнении счета в POST-запросе сервиса передается количество денег, зачисляемых на счет. Запрос защищен с помощью хэш-подписи, но исследователь нашел способ его модифицировать.
Для этого DrBrix привязал к аккаунту в Steam новый адрес электронной почты, в имени которого была строка amount100abc. Цифра 100 важна — именно столько денег будет зачислено на счет игрока при проведении транзакции.
Затем оставалось специальным образом модифицировать POST-запрос сервиса.
MerchantID=1102&MerchantTransactionID=███&Amount=2000&Currency=PLN&ReturnURL=https%3A%2F%2Fstore.steampowered.com%2Fpaypal%2Fsmart2pay%2F████%2F&MethodID=12&Country=PL&CustomerEmail=brixamount100abc%40███████&CustomerName=_drbrix_&SkipHPP=1&Description=Steam+Purchase&SkinID=101&Hash=███
оригинальный запрос
При подсчете хэша запроса знаки «=» и «&» убирались, поэтому изменение в запросе Amount=2000 на Amount2=000 и появление нового значения amount, взятого из почты, не меняло хэш. Хэш запроса оставался валидным, но на сервер Valve передавалось неверное количество купленной валюты.
MerchantID=1102&MerchantTransactionID=██████&Amount2=000&Currency=PLN&ReturnURL=https%3A%2F%2Fstore.steampowered.com%2Fpaypal%2Fsmart2pay%2F████%2F&MethodID=12&Country=PL&CustomerEmail=brix&amount=100&ab=c%40██████████&CustomerName=_drbrix_&SkipHPP=1&Description=Steam+Purchase&SkinID=101&Hash=█████████
модифицированный запрос
Таким образом, объясняет исследователь, можно было совершить транзакцию, потратив $1, и получить на счет в Steam любое количество денег.
В Valve не уточнили, использовался ли этот эксплойт злоумышленниками или DrBrix был первым, кто его обнаружил.
- В Steam появился новый менеджер библиотеки и страница загрузок
- EGS обходит Steam, Sony не берет деньги: самое интересное из документов с суда Epic и Apple
- Мерзкий Паук, достойный Локи: вырезанные сюжеты мультсериала «Что, если...?»
- Слух: эксклюзив From Software для PlayStation 5 это соулслайк, принадлежащий Sony
- Steam опубликовал даты всех крупных распродаж до конца 2021 года
- Байка это не доказательство: Valve прокомментировала иск о монополии Steam