В Steam нашли эксплойт для бесконечного добавления денег на счёт — Valve выплатила скромную сумму за его обнаружение

Исследователь обнаружил эксплойт для накачивания деньгами кошелька в Steam. Valve выплатила скромное вознаграждение.

Исследователь безопасности под ником drbrix обнаружил эксплойт в Steam, который позволял злоумышленникам добавлять неограниченное число средств на счёт.

Valve использует платёжный сервис Smart2Pay. При добавлении средств в кошелёк Steam отправляется запрос (POST) и в нём передаётся число отправляемых средств. Естественно, он защищён, но исследователь нашёл способ, как его отредактировать.

Для эксплойта использовалась новая электронная почта, в адресе которой содержалась строка «amount100», где 100 — сумма, которую начислят на счёт при проведении транзакции.

Потенциальному злоумышленнику достаточно было просто добавлять деньги на счёт, как это делают многие другие пользователи. При этом сумма не важна — использующий эксплойт перехватывал бы запрос POST (данные, отправляемые на сервер), а затем редактировал его и указывал необходимую для зачисления сумму.

Вот оригинальный запрос:

MerchantID=1102&MerchantTransactionID=███&Amount=2000&Currency=

PLN&ReturnURL=https%3A%2F%2Fstore.steampowered.com%2Fpaypal%2Fsmart2pay%2F████%

2F&MethodID=12&Country=PL&CustomerEmail=brixamount100abc%40███████&CustomerName

=_drbrix_&SkipHPP=1&Description=Steam+Purchase&SkinID=101&Hash=██

После редактирования:

MerchantID=1102&MerchantTransactionID=██████&Amount2=000&Currency=PLN&ReturnURL=

https%3A%2F%2Fstore.steampowered.com%2Fpaypal%2Fsmart2pay%2F████%2F&MethodID=

12&Country=PL&CustomerEmail=brix&amount=100&ab=c%40██████████&CustomerName

=_drbrix_&SkipHPP=1&Description=Steam+Purchase&SkinID=101&Hash=█████████ 

Изменение в запросе Amount=2000 на Amount2=000 не влияло на хэш-подпись, которая использовалась для защиты запроса, но на сервер отправлялась необходимая злоумышленнику сумма.

Затем меняя:

CustomerEmail=brixamount100abc%40████  

На:

CustomerEmail=brix&amount=100&ab=c%40█████████  

Добавлялось поле с новым значением.

Достаточно было заплатить всего один доллар, чтобы получить крупную сумму средств на счёт в Steam

Такой трюк можно было провернуть только при указанной в имени почты «amount100».

Не известно, использовал ли кто-то ещё такой способ пополнения кошелька в Steam. На данный момент эксплойт исправили.

Valve выплатила за обнаружение эксплойта 7 500 долларов. Для сравнения, средняя годовая зарплата в США порядка 53 950 долларов.

2021-08-15 21:11:45
Борис Пилецкий

Сейчас на главной

Новости

Reebok объявил о сотрудничестве с «Соник 3 в кино»
09:17 0
Assassin's Creed Shadows получила 6 видеороликов, посвященных стелсу
08:57 0
Продано 15 миллионов копий Helldivers 2
08:39 0
Релиз ретро-хоррора в хорроре Among Ashes состоистя в декабре
01:11 0
В Steam сейчас проходит акция на выходных со скидками до 95%
01:03 0

Публикации

(18+) Жертвы во имя Великого Ктулху. Обзор хоррор-стратегии Worshippers of Cthulhu [Ранний доступ]

Обзоры 22 ноября 15:00 0

Похоже, нет ещё одного настолько горячо любимого разработчиками игр писателя, как Г.Ф.Лавкрафт. Как ещё объяснить такое количество релизов, вдохновлённых одним из основоположников жанра ужасов и тёмного фэнтези? Особенность очередного проекта – управление городом и жителями-культистами, приближающими приход Ктулху.

Инди игры октября. Resident Evil с фан-сервисом, стильные метроидвании, необычные стратегии, арт-хаус и выживалки

Итоги 21 ноября 19:00 0

Какие же они стильные! Практически все инди-игры октября, ставшие популярными среди игроков, отличаются своеобразным стилем. Не всегда он совпадает с представлением большинства о прекрасном, но в уникальности этим проектам не откажешь. В плане геймплея октябрьские проекты тоже могут удивить: зомби-хоррор в стиле Resident Evil, русская рулетка в мрачном баре, файтинг в духе Super Smash Bros., мрачные метроидвании и (не)серьезные стратегии. Найдут чем порадовать и фанаты лёгких жанров.

Как разработчики борются за честную игру? Интервью с Astrum Entertainment об античитах и читерах

Статьи 21 ноября 14:00 0

Читерство большинством игроков воспринимается как зло. Но, как утверждают некоторые геймеры, реальность может быть куда сложнее. Мы не стремимся переубедить ни первых, ни вторых, но предлагаем прислушаться к мнению разработчиков. Возможно, их взгляд на читы и на методы борьбы с ними позволит увидеть проблему под иным углом.

Попытка усидеть на двух стульях. Номинанты The Game Awards 2024

Статьи 20 ноября 20:00 0

Наступил ноябрь. А это означает, что настала пора подготовки к итогам года. Уже полным ходом идет голосование за лучшие игры в рамках главной ежегодной премией – The Game Awards. И желание Джеффа Кили создать «игровой Оскар» полностью воплотилась в реальность: в жюри находятся сомнительные личности, критерии отбора номинантов и призёров вызывают огромные споры, а ещё на такое шоу привлекаются спонсорские бюджеты. Каждая последующая церемония всё больше превращается в клоунаду, созданную для инвесторов, а не для зрителей. Потому за этим мероприятием интересно наблюдать не как за итогами года, а как за результатом деградации индустрии.

Конкуренция, пиратство и вера. Kingdom Come: Deliverance II — самая смелая игра 2025 года?

Статьи 20 ноября 15:00 0

11 февраля 2025 года состоится выход сиквела игры Kingdom Come: Deliverance, главным разработчиком которой является чешский геймдизайнер Дэниэль Вавра — его вы можете знать по оригинальной Mafia 2002 года выпуска. Вторую часть ждут многие игроки, а проект уже сейчас можно назвать самой смелой игрой будущего года. Почему? Рассуждаем в нашем материале!