В Steam нашли эксплойт для бесконечного добавления денег на счет

Valve оценила нахождение уязвимости в $7500.

Исследователь безопасности под ником DrBrix обнаружил в Steam уязвимость, позволявшую бесконечно пополнять счет игрока. Эксплойт был найден 9 августа, вскоре Valve исправила его, выплатив DrBrix вознаграждение в $7500.

Уязвимость была связана с платежным сервисом Smart2Pay, использовавшимся Valve. При пополнении счета в POST-запросе сервиса передается количество денег, зачисляемых на счет. Запрос защищен с помощью хэш-подписи, но исследователь нашел способ его модифицировать.

Для этого DrBrix привязал к аккаунту в Steam новый адрес электронной почты, в имени которого была строка amount100abc. Цифра 100 важна — именно столько денег будет зачислено на счет игрока при проведении транзакции.

Затем оставалось специальным образом модифицировать POST-запрос сервиса.

MerchantID=1102&MerchantTransactionID=███&Amount=2000&Currency=PLN&ReturnURL=https%3A%2F%2Fstore.steampowered.com%2Fpaypal%2Fsmart2pay%2F████%2F&MethodID=12&Country=PL&CustomerEmail=brixamount100abc%40███████&CustomerName=_drbrix_&SkipHPP=1&Description=Steam+Purchase&SkinID=101&Hash=███

оригинальный запрос

При подсчете хэша запроса знаки «=» и «&» убирались, поэтому изменение в запросе Amount=2000 на Amount2=000 и появление нового значения amount, взятого из почты, не меняло хэш. Хэш запроса оставался валидным, но на сервер Valve передавалось неверное количество купленной валюты.

MerchantID=1102&MerchantTransactionID=██████&Amount2=000&Currency=PLN&ReturnURL=https%3A%2F%2Fstore.steampowered.com%2Fpaypal%2Fsmart2pay%2F████%2F&MethodID=12&Country=PL&CustomerEmail=brix&amount=100&ab=c%40██████████&CustomerName=_drbrix_&SkipHPP=1&Description=Steam+Purchase&SkinID=101&Hash=█████████

модифицированный запрос

Таким образом, объясняет исследователь, можно было совершить транзакцию, потратив $1, и получить на счет в Steam любое количество денег.

В Valve не уточнили, использовался ли этот эксплойт злоумышленниками или DrBrix был первым, кто его обнаружил.