В Steam нашли эксплойт для бесконечного добавления денег на счёт — Valve выплатила скромную сумму за его обнаружение

Исследователь обнаружил эксплойт для накачивания деньгами кошелька в Steam. Valve выплатила скромное вознаграждение.

Исследователь безопасности под ником drbrix обнаружил эксплойт в Steam, который позволял злоумышленникам добавлять неограниченное число средств на счёт.

Valve использует платёжный сервис Smart2Pay. При добавлении средств в кошелёк Steam отправляется запрос (POST) и в нём передаётся число отправляемых средств. Естественно, он защищён, но исследователь нашёл способ, как его отредактировать.

Для эксплойта использовалась новая электронная почта, в адресе которой содержалась строка «amount100», где 100 — сумма, которую начислят на счёт при проведении транзакции.

Потенциальному злоумышленнику достаточно было просто добавлять деньги на счёт, как это делают многие другие пользователи. При этом сумма не важна — использующий эксплойт перехватывал бы запрос POST (данные, отправляемые на сервер), а затем редактировал его и указывал необходимую для зачисления сумму.

Вот оригинальный запрос:

MerchantID=1102&MerchantTransactionID=███&Amount=2000&Currency=

PLN&ReturnURL=https%3A%2F%2Fstore.steampowered.com%2Fpaypal%2Fsmart2pay%2F████%

2F&MethodID=12&Country=PL&CustomerEmail=brixamount100abc%40███████&CustomerName

=_drbrix_&SkipHPP=1&Description=Steam+Purchase&SkinID=101&Hash=██

После редактирования:

MerchantID=1102&MerchantTransactionID=██████&Amount2=000&Currency=PLN&ReturnURL=

https%3A%2F%2Fstore.steampowered.com%2Fpaypal%2Fsmart2pay%2F████%2F&MethodID=

12&Country=PL&CustomerEmail=brix&amount=100&ab=c%40██████████&CustomerName

=_drbrix_&SkipHPP=1&Description=Steam+Purchase&SkinID=101&Hash=█████████ 

Изменение в запросе Amount=2000 на Amount2=000 не влияло на хэш-подпись, которая использовалась для защиты запроса, но на сервер отправлялась необходимая злоумышленнику сумма.

Затем меняя:

CustomerEmail=brixamount100abc%40████  

На:

CustomerEmail=brix&amount=100&ab=c%40█████████  

Добавлялось поле с новым значением.

Достаточно было заплатить всего один доллар, чтобы получить крупную сумму средств на счёт в Steam

Такой трюк можно было провернуть только при указанной в имени почты «amount100».

Не известно, использовал ли кто-то ещё такой способ пополнения кошелька в Steam. На данный момент эксплойт исправили.

Valve выплатила за обнаружение эксплойта 7 500 долларов. Для сравнения, средняя годовая зарплата в США порядка 53 950 долларов.

2021-08-15 21:11:45
Борис Пилецкий

Сейчас на главной

Новости

Авторы российской CarX Street пригрозили любителям накрутки ресурсов. Обновление 1.0.3 улучшает ИИ, баланс и на подходе модернизация защиты
02:10 0
AMD выпустила драйвер Fluid Motion Frames 2 с оптимизацией для Warhammer 40,000 Space Marine 2
01:55 0
В GTA Online запустили испытание с байкерскими клубами. Rockstar подарит кепку за выполнение заданий
01:37 0
Китайский аналог XCOM решили закрыть за день до выхода из раннего доступа Steam. Странности запуска Bu Yi
01:00 0
Square Enix закрывает Final Fantasy: Brave Exvius через девять лет после запуска
00:05 0

Публикации

Жертва слепой ненависти. Обзор экшн-приключения Star Wars Outlaws

Обзоры 07 сентября 17:00 0

Доводилось ли вам видеть проект, который уничтожили просто за то, что он существует? Не за его недостатки, не потому что он плох технически или беззубый сам по себе — а просто за то, что он вообще появился на свет? После прохождения Star Wars Outlaws складывается впечатление, что именно это и случилось с проектом. И это печально, ведь игроки, которые кричали, что Ubisoft надоела со своим конвейером, затоптали одну из лучших игр по вселенной «Звёздных войн» и самую свежую игру издателя за многие годы. Почему это так? Детально расскажем в этом обзоре.

Наобезьянничали на «Игру Года»! Обзор souls-слэшера Black Myth: Wukong

Обзоры 06 сентября 13:00 0

Еще с момента анонса Black Myth: Wukong приковала к себе внимание многих игроков не только потрясающей графикой и технической частью, но также сменой надоевшей атмосферы мрака, черноты и грусти — после Миядзаки её вдруг полюбили разработчики соулслайков. Black Myth в итоге удалось оправдать практически все ожидания и стать главным претендентом на звание «Игры года 2024» — даже несмотря на скандалы в западном игровом сообществе!

Warhammer 40,000 — продуманное фэнтези в условиях будущего. Основы вселенной, которые нужно знать перед Space Marine 2

Статьи 05 сентября 17:00 0

Идея с перемещением фентезийных рас и правил в будущее не нова. Многие вселенные попытались это провернуть, но Warhammer 40,000 стала одной из немногих, которая сделала эта органично. За долгие годы мир полировался и насыщался деталями, что и сделало его столь популярным. И в итоге это превратилось в огромный клубок знаний, распутать который не каждому под силу. Но мы постараемся сегодня рассмотреть основы и подготовить вас к грядущей Space Marine 2.

Slay The Spire — снимай корону, у нас новый фаворит! Обзор отечественной Knock on the Coffin Lid

Обзоры 04 сентября 18:24 0

Объединить ролевую игру с «карточным рогаликом» — дело не из простых. Особенно, во времена, когда «рогалики» штампуются по принципу «две тысячи единиц готовы, ещё миллион на подходе». Мы живём в мире, в котором армия клонов Slay the Spire готова выступить против армии клонов Vampire Survivors, и кажется, надежды нет. Простой народ ждал спасителя, и он пришёл. И грянул «Стук в крышку гроба» от российской студии RedBoon!

Красочный гибрид Vampire Survivors и Hades. Обзор отечественной Call of Sentinels

Обзоры 02 сентября 13:00 0

С удивлением понимаешь, что Call of Sentintels не является ленивым клоном — это драйвовая игра, с большим количеством деталей и механик. В проект вложили душу и это заметно. Однако приходится мириться с плохим балансом — и таить надежды, что с патчами его поправят.