Специалист по информационной безопасности с ником drbrix обнаружил критическую ошибку в магазине игр Steam. Она позволяла менять баланс кошелька по своему усмотрению. За это исследовать получил 7500 долларов от компании Valve.
Чтобы воспользоваться уязвимость, достаточно было добавить к своему аккаунту в Steam почтовый ящик с символами «amount100» в названии. После этого при проведении платежей через систему Smart2Pay хакеры могли редактировать POST-запросы для изменения суммы внесённых средств.
Drbrix предоставил компании Valve полный отчет по данной уязвимости. После этого специалисты провели исследование проблемы и устранили её. При этом представители компании не стали сообщать о случаях использования данной уязвимости пользователями сервиса Steam.
«Спасибо за этот отчёт. Он был чётко написан и помог выявить реальную проблему для бизнеса. Мы изменили оценку данной проблемы на «критическую», что отражает потенциальные потери для бизнеса, а также выплатили соответствующее вознаграждение за её обнаружение», — говорится в сообщении Valve.
