Новости

Valve исправляет эксплойт, позволяющий добавлять бесконечные деньги в кошелёк Steam

Потенциально дорогостоящий обман, связанный с изменением адреса электронной почты, был обнаружен пользователем Hackerone

Исследователь безопасности на Hackerone недавно представил эксплойт, который можно использовать в Steam для получения неограниченных средств. С тех пор Valve исправила этот вредоносный код, и компания наградила пользователя, обнаружившего этот эксплойт, 7500 долларами.

Hackerone — это сайт, который связывает такие компании, как Valve, с пользователями, которые любят взламывать и возиться с веб-сайтами, приложениями и другим программным обеспечением. Эти люди могут отправлять эксплойты и взломы компаниям в частном порядке, а затем взамен эти технологические компании могут наградить хакеров деньгами за их находки. Это система, которая зарекомендовала себя как помощь в устранении вредоносных эксплойтов до того, как они станут достоянием общественности.

9 августа пользователь Hackerone Drbrix в частном порядке предупредил Valve об эксплойте Steam Wallet, который включал изменение вашего адреса электронной почты и перехват транзакций, использующих любой метод оплаты Smart2Pay. То есть, если бы у пользователя было «amount100» как часть адреса электронной почты их учётной записи Steam, платежи через Smart2Pay можно было бы перехватить и изменить, изменив депозит в 1 доллар, скажем, на 100 долларов, в то время как платёж, списанный с банковского счета, остался бы на уровне 1 доллара. Отчёт Hackerone стал достоянием общественности 10 августа.

«Я думаю, что влияние довольно очевидно, злоумышленник может заработать деньги и взломать рынок Steam, продавать игровые ключи по дешёвке и т. д.», — написал Drbrix в своём отчете Hackerone.

Как и следовало ожидать, Valve быстро ответила на сообщение Drbrix. Сотрудник Valve по имени JonP на сайте поблагодарил Drbrix за их находку и объяснил, что Valve быстро проверила то, что они сообщили, и предпринимает шаги для решения проблемы. В последующем сообщении от JonP пояснялось, что отчёт был «чётко написан» и «помог выявить реальный бизнес-риск».

Затем Valve заплатила Drbrix 7500 долларов в благодарность за сообщение о проблеме, что неплохо, но, может и маловато. Если бы этот эксплойт стал общедоступным или был передан каким-нибудь недобросовестным  группам людей, он мог бы стоить Valve намного больше, чем 7500 долларов. В прошлом году Riot предлагал людям 100 тысяч долларов за обнаружение уязвимостей Valorant.

После того, как всё было улажено и исправлено, Valve и Drbrix опубликовали полный отчёт. В настоящее время мы не знаем, мог ли кто-нибудь использовать этот эксплойт до того, как Valve об этом сообщили и они внесли исправления.