Компания Valve одарила работающего в сфере информационной сохранности исследователя с ником drbrix валютным поощрением в размере $7500. В такую сумму создатели оценили обнаруженную им уязвимость, эксплуатация которой позволяла злодеям корректировать баланс кошелька Steam по собственному усмотрению.


Valve исправила уязвимость Steam, позволявшую пополнять кошелёк на любую суммуValve исправила уязвимость Steam, позволявшую пополнять кошелёк на любую сумму

Согласно имеющимся данным, для эксплуатации упомянутой уязвимости юзеру Steam требовалось привязать к собственному аккаунту почтовый ящик, в заглавии которого содержалось «amount100». Опосля этого при совершении платежа через систему Smart2Pay при помощи соответственного эксплойта злоумышленники могли перехватывать POST-запросы для редактирования суммы внесённых средств.  

Исследователь предоставил Valve подробную информацию касательно метода эксплуатации уязвимости, опосля чего же спецы компании подтвердили наличие трудности. Сейчас уязвимость уже устранена, а исследователь получил вознаграждение за её обнаружение. Создатели не сказали, фиксировались ли случаи использования данной уязвимости на практике либо же делему удалось решить до того, как ей смогли пользоваться злоумышленники.

«Спасибо за этот отчёт. Он был чётко написан и посодействовал выявить настоящую делему для бизнеса. Мы изменили оценку данной трудности на «критичную», что отражает потенциальные утраты для бизнеса, также выплатили соответственное вознаграждение за её обнаружение», — говорится в сообщении Valve.

Источник