16 августа 2021 16.08.21 28 8491

В Steam исправили баг на «бесплатные» деньги

Valve пользуется услугами HackerOne — сервиса, где люди с хакерскими навыками могут сообщать компаниям об уязвимостях в их цифровых продуктах и получать за это вознаграждения. Недавно пользователь drbrix рассказал, что в Steam есть баг, при помощи которого можно было генерировать деньги для кошелька своей учётной записи.

Как пишет drbrix, потенциальный хакер должен был прикрепить профиль в Steam к почте, где в адресе есть термин amount100 — например, brixamount100abc@mail.com. После этого нужно было запустить пополнение кошелька Steam через метод оплаты Smart2Pay и перехватить запрос POST, который отправляется на globalapi.smart2pay.com. В этом запросе менялись определённые параметры, в результате чего на кошелёк зачислялась значительно увеличенная сумма — можно было заплатить $1, а на аккаунте Steam появилось бы $100.

Valve отреагировала на отчёт довольно быстро: пост на HackerOne появился 9 августа, а уже 10 августа представитель Steam вышел на связь. Судя по переписке, исправление подготовили в тот же день. Valve поставила багу критический уровень важности и присудила пользователю drbrix вознаграждение — $7 500.

Благодаря человеку, который сообщил об этом баге, нам вместе с оператором платежей удалось устранить проблему без неудобств для наших клиентов.
Сотрудник Valve в комментарии для The Daily Swig

Теги

Лучшие комментарии

anal-karnaval 16 августа 2021, 12:42

Нет. Обычно выкладывают только часть уязвимости, (которая не даёт никаких возможностей для самостоятельного воспроизведения), иногда дополняют демонстрацией её работы. Затем информируют авторов софта, передают им остальные детали, и там уже дальше уязвимости присваивается ранг и вознаграждение (если таковое предусмотрено).
Бывает что, после устранения уязвимости, выкладывают в общий доступ вообще все механики и инструменты по их воспроизведению.

Ну это если про «белых хаккеров» говорить. Хотя исключения бывают везде. На моей памяти были парочка случаев, когда в открытый доступ сливали всё для воспроизведения бага, чтобы смотивировать разраба признать уязвимость и выпустить патч. Из подобных случаев что встречал я — это было с майкрософтом. Они почему-то годами могут игнорировать уязвимости.

GAsTeRer 16 августа 2021, 11:29

Вот чёрт. Теперь недохакерам будет сложнее делать свои видео «КАК НАКРУТИТЬ ДЕНЬГИ В СТИМ В 2021 ГОДУ ЛЕГКО».

Maks_NTLM 16 августа 2021, 14:58

Контроль над системами получить нельзя, внутренние данные не утекают, крупные не стыковки при первом же отчете оператора обнаруживаются и через платежку отследить источник дело посильное. На самом деле довольно безобидный баг.

Just Gri 16 августа 2021, 13:45

Большие денежные награды мотивируют людей, как ни странно, именно своей денежной составляющей. А что будет, если ты привлечешь к поиску уязвимостей хакеров, что работают ради денег? Риторический вопрос, ясное дело)

pda898 16 августа 2021, 14:06

Не сказал бы. Тип неожиданно, но баг хоть и критический, но последствий сильных не несет. Тем более скорее всего данную атаку (тип купить ключи и попробовать продать или манипуляции с маркетом) позднее бы система аналитики отловила бы.

Morse 16 августа 2021, 11:53

Ну, если учесть что в конце таймлайна там указано «This report has been disclosed.», то видимо все-таки нет.

Just Gri 16 августа 2021, 23:20

Смысл сей структуры в том, что любая работа должна иметь вознаграждение, но быть оно должно соразмерным самой работе, а не маштабам проблем, которые данная работа лечит.

hodreroydo 16 августа 2021, 11:33

Я механику репорта не понял.
Он выложил эти данные в открытый доступ? То есть любой мог увидеть и воспользоваться ими, пока баг не прикрыли? 

hodreroydo 16 августа 2021, 14:22

А что будет, если ты привлечешь к поиску уязвимостей хакеров, что работают ради денег?

Так в этом смысл сего сайта, и сей структуры, не? 
Лучше чтобы об уязвимости сообщали, а не пользовались. 

Читайте также