Хакеры помогли исправить эксплойт с бесконечными деньгами на Steam-кошельке

Хакеры помогли исправить эксплойт с бесконечными деньгами на Steam-кошельке

Пока одни хакеры взламывают крупные компании и воруют миллионы, другие стараются приносить пользу. К примеру, пользователь drbrix помог Valve исправить критический эксплойт в Steam. С его помощью можно было без проблем добавлять на кошелек онлайн-магазина любые суммы, а также перехватывать чужие платежи.

Все данные drbrix опубликовал на сайте Hackerone, с помощью которого хакеры сообщают крупным компаниям о найденных уязвимостях. В Valve уже отреагировали на сообщение и, судя по всему, исправили проблему.

Благодаря человеку, сообщившему об этой ошибке, мы смогли вместе с поставщиком платежных услуг решить проблему, не оказав никакого влияния на клиентов.

Комментарий представителя Valve изданию The Daily Swig

За найденную уязвимость drbrix получил вознаграждение в $7500.

Видео от Shazoo

Подписаться

8 Комментариев

  • Big_Di
    Комментарий скрыт. Показать

    Ну блин, опять я все пропустил и не успел накрутить миллионы на стим)

    16
  • GAAndalf
    Комментарий скрыт. Показать

    Valve когда им сообщают о уязвимостях в ОСях юзеров - i sleep
    Valve когда сообщили о уязвимости в кошельке - real shit

    2
    • Mishail
      Комментарий скрыт. Показать

      @GAAndalf, к этому можно добавить возможность выполнения стороннего кода при подключении к серверу, которую не фиксили больше года.

      1
    • makame
      Комментарий скрыт. Показать

      @Mishail, а так же возможность списывать любые суммы и делать обмен без уведомлений через steam api key, который может проставить абсолютно любой сайт использующий авторизацию через стим (тоже самое что гугл авторизация).

      1
    • Morricore
      Комментарий скрыт. Показать

      @makame, а так вот как сработали недавние кражи из инвентарей в TF2, с использованием российского бота.

      1
    • makame
      Комментарий скрыт. Показать

      @Morricore, ага, никогда нигде не авторизуйся нигде через стим (даже в программах которые требуют связать аккаунт) + регулярно проверяй что тебе не проставили вирусы или что еще steam api key (https://steamcommunity.com/dev/apikey) - он должен быть пустой и выключен. При этом проставить этот апи может даже любой chrome extension, если вы заходили в стим через браузер.

      Плюс никогда не вноси виртуальные деньги в стим - плати только картой, и при этом никогда не привязывай ее (покупку без подтверждения в банке и без ввода 3 значного пина).

      У некоторых людей с банковского счета так даже с кредитных карт списывались миллионы по всему миру через покупку дешевых скинов за огромные суммы. А стим не возвращает деньги за обмен.

      Что может сделать Валв для закрытия этого эксплойта? Да бл*ть просто включить по дефолту активацию этого апи ключа через Steam Guard, но нет, они делают это только если вы напишете в поддержку и попросите их об этом, уроды, мне кажется им это выгодно, ведь даже эту страницу с ключом вы можете открыть исключительно через браузер, а не через их офф клиент.

      1
  • AidenPearce
    Комментарий скрыт. Показать

    За найденную уязвимость drbrix получил вознаграждение в $7500.

    Чет как то ни о чём. Потенциальные потери из-за этого эксплойта у них были бы сотни тысяч долларов минимум, а они ему за починку крита в проде такую херню дали)

    4
Войдите на сайт чтобы оставлять комментарии.