В Steam нашли эксплойт для бесконечного добавления денег на счёт — Valve выплатила скромную сумму за его обнаружение

Исследователь обнаружил эксплойт для накачивания деньгами кошелька в Steam. Valve выплатила скромное вознаграждение.

Исследователь безопасности под ником drbrix обнаружил эксплойт в Steam, который позволял злоумышленникам добавлять неограниченное число средств на счёт.

Valve использует платёжный сервис Smart2Pay. При добавлении средств в кошелёк Steam отправляется запрос (POST) и в нём передаётся число отправляемых средств. Естественно, он защищён, но исследователь нашёл способ, как его отредактировать.

Для эксплойта использовалась новая электронная почта, в адресе которой содержалась строка «amount100», где 100 — сумма, которую начислят на счёт при проведении транзакции.

Потенциальному злоумышленнику достаточно было просто добавлять деньги на счёт, как это делают многие другие пользователи. При этом сумма не важна — использующий эксплойт перехватывал бы запрос POST (данные, отправляемые на сервер), а затем редактировал его и указывал необходимую для зачисления сумму.

Вот оригинальный запрос:

MerchantID=1102&MerchantTransactionID=███&Amount=2000&Currency=

PLN&ReturnURL=https%3A%2F%2Fstore.steampowered.com%2Fpaypal%2Fsmart2pay%2F████%

2F&MethodID=12&Country=PL&CustomerEmail=brixamount100abc%40███████&CustomerName

=_drbrix_&SkipHPP=1&Description=Steam+Purchase&SkinID=101&Hash=██

После редактирования:

MerchantID=1102&MerchantTransactionID=██████&Amount2=000&Currency=PLN&ReturnURL=

https%3A%2F%2Fstore.steampowered.com%2Fpaypal%2Fsmart2pay%2F████%2F&MethodID=

12&Country=PL&CustomerEmail=brix&amount=100&ab=c%40██████████&CustomerName

=_drbrix_&SkipHPP=1&Description=Steam+Purchase&SkinID=101&Hash=█████████ 

Изменение в запросе Amount=2000 на Amount2=000 не влияло на хэш-подпись, которая использовалась для защиты запроса, но на сервер отправлялась необходимая злоумышленнику сумма.

Затем меняя:

CustomerEmail=brixamount100abc%40████  

На:

CustomerEmail=brix&amount=100&ab=c%40█████████  

Добавлялось поле с новым значением.

Достаточно было заплатить всего один доллар, чтобы получить крупную сумму средств на счёт в Steam

Такой трюк можно было провернуть только при указанной в имени почты «amount100».

Не известно, использовал ли кто-то ещё такой способ пополнения кошелька в Steam. На данный момент эксплойт исправили.

Valve выплатила за обнаружение эксплойта 7 500 долларов. Для сравнения, средняя годовая зарплата в США порядка 53 950 долларов.

2021-08-15 21:11:45
Борис Пилецкий

Сейчас на главной

Новости

Sony отказалась от планов выпускать Gran Turismo 7 на ПК — слух
02:51 0
Основанная стримером Dr Disrespect студия Midnight Society закрывается. 55 человек останутся без работы
01:54 0
«Виртуальный урок анатомии». Врач неотложной помощи разобрал травмы в Sniper Elite: Resistance
01:25 0
Пиковый онлайн ПК-версии Marvel’s Spider-Man 2 в три раза меньше оригинальной игры
00:57 0
Halo: The Master Chief Collection также выйдет на PS5 — инсайдер
00:34 0

Публикации

(18+) Напряжение как рукой снимает! Обзор ретро-приключения для взрослых Aurelia

Обзоры 30 января 19:00 0

Aurelia во многом схожа с типичными представителями игр для взрослых — в ней нужно искать способы познакомиться поближе с максимальным количеством прекрасных незнакомок. Однако приятная пиксельная графика, расслабляющий игровой процесс и музыка делают прохождение размеренным и приятным.

Главные инди-игры декабря. Наш Чужой, акварельные котики, ремонт космических кораблей и не только

Итоги 30 января 15:00 0

Богат оказался декабрь на интересные инди-платформеры. Причем, платформеры на любой вкус. Тут и наш Чужой ползает по стенам лаборатории, и акварельный котик пускается в приключение, с ними в компании оказались «шедевр в мире платформеров» и симфонический плаформер. В общем, любителям классических игр есть из чего выбрать. Причем не только среди классических платформеров. Как насчет классической ролевой игры или приключенческой игры? Лишь космический рогалик-симулятор ремонта космических кораблей выпадает из декабрьского тренда на осовременивание классики.

Рождённая прошлым, живущая будущим классика. Разбор Final Fantasy VII Rebirth для ПК и оптимальные настройки

Обзоры 29 января 19:00 0

Вторая глава переосмысления одной из самых культовых игр в истории наконец добралась до ПК. Final Fantasy VII Rebirth раскрывает героев с новых сторон, расширяет мир за пределы Мидгара и меняет правила игры. Это история о судьбе, неумолимой, как время, и о героях, готовых встать у нее на пути. Если оригинальная Final Fantasy VII — настоящий эпос, то Rebirth — вторая глава его современного прочтения: многогранное, но опасное японское блюдо, требующее правильного подхода, чтобы раскрыть его истинный вкус. А также немало сил, чтобы подобрать правильные инструменты для разделки и поглощения оного — их мы вам сегодня тоже подскажем.

Больше, чем калька с Pizza Tower. Обзор платформера Antonblast

Обзоры 29 января 15:00 0

В начале может создаться впечатление, что разработчики создали Antonblast ради дешевой попытки нажиться на успехе Pizza Tower. Но чем дольше погружаешься в игру – тем больше понимаешь, что это уникальный проект. У него намного больше особенностей, которые вызывают самые разные эмоции, чем кажется на первый взгляд.

Восторг на дне. Обзор Atomic Heart: Чары морских глубин

Обзоры 28 января 19:00 0

Заходят как-то в подводный комплекс Нечаев, Близняшка и кнут… Нет, это не начало анекдота, а новое дополнение «Чары морских глубин» для Atomic Heart — продолжение каноничной концовки после «Узника Лимбо», которое отправляет игроков в подводный комплекс «Нептун». Никакого сюрреализма — только новые пушки, суровые враги и капелька семейной идиллии. Mundfish вернулась, чтобы доказать: даже на дно можно опуститься красиво. А что там на глубине? Сейчас расскажем.