Дмитрий Новиков
Уязвимость позволяла пользователям пополнить кошелёк в Steam на любую сумму.
Согласно опубликованным данным, компания Valve устранила уязвимость, которая позволяла злоумышленникам пополнять счёт в Steam на любую сумму. Сообщается, что проблему обнаружил специалист в сфере информационной безопасности, скрывающийся под ником drbrix.
По словам специалиста, злоумышленники создавали почтовые ящики, в названии которых содержалось сочетание «amount100», что после привязки её к аккаунту в Steam позволяло перехватывать POST-запросы об оплате для редактирования в них суммы внесённых средств.
Сообщается, что в настоящее время уязвимость уже устранена, а специалист, нашедший её, получил вознаграждение в размере 7 500 долларов. Интересно, что Valve не сообщает, успели ли злоумышленники воспользоваться лазейкой.