В сети появилась информация о достаточно интересном баге в сервисе Steam. С её помощью злоумышленники могли "накачивать» деньгами свои Steam-аккаунты бесконечно. Обнаружил эксплоит исследователь кибербезопасности под ником drbrix.
Обманывая платёжный сервис Smart2Pay, который использует Valve, он мог пополнять свой кошелёк в магазине игр на любую сумму, тратя при этом по 1 доллару (73 рубля) при каждой транзакции, сообщает NME.
Для этого было достаточно привязать электронную почту со строкой "amount100» к своей учетной записи Steam. Затем нужно было пополнять свой кошелёк обычным способом, хоть на 1 доллар. Но используя эксплоит, злоумышленники могли перехватить POST-запрос (данные, отправляемые на сервер) и просто отредактировать его, изменив при этом сумму платежа.
Сообщается, что Valve уже заплатила специалисту, нашедшему эту "дыру» награду. Она составила 7,5 тыс долларов (около 550 тыс рублей).
Читать первоисточник. . . . photorealm.ru2021-8-16 05:24
