Исправлен эксплойт Steam позволяющий игрокам добавлять неограниченные средства на свои Steam-кошельки

©Исправлен эксплойт Steam позволяющий игрокам добавлять неограниченные средства на свои Steam-кошельки

Valve наградила пользователя 7500 долларов за сообщение об ошибке, которая позволяла игрокам фальсифицировать кредиты на свой кошелек Steam.

Пользователь под ником drbrix сообщил об эксплойте через HackerOne, заявив, что он «обнаружил уязвимость, которая позволяет злоумышленнику генерировать баланс кошелька Steam». Ошибка, которая с тех пор была устранена, позволяла игрокам с "amount100" в адресе электронной почты их учетной записи Steam перехватывать платежи, сделанные через Smart2Pay, и искусственно завышать их.

Подробно объяснив, как может быть сгенерирован эксплойт, JonP из Valve сразу же поблагодарил drbrix и согласился, что команда Valve смогла «подтвердить, что это происходит примерно так, как описано», и предприняла шаги для решения этой проблемы.

После того, как drbrix был приглашен снова попытаться воспроизвести эксплойт, JonP наградил его премией в размере 7500 долларов (это около 550 тыс. рублей).

«Спасибо за этот отчет», — сказал JonP. «Это было четко написано и полезно для определения реального бизнес-риска. Мы изменили оценку серьезности на Критическую, отражающую потенциальную стоимость для бизнеса, и соответственно применили награду. Мы надеемся услышать больше от вас в будущем».

От Valve не было ни слова о том, злоупотребляли ли уязвимостью хакеры или удалось ли устранить проблему до того, как ею можно было воспользоваться.

Индустрия 50

Источник: playground.ru



Добавить комментарий