Дыра в системе безопасности Steam, позволяющая хакерам бесконечно пополнять кошелёк аккаунтп, недавно была обнаружена и исправлена компанией Valve. Если бы эта ошибка осталась незамеченной, то могла бы нанести непоправимый ущерб огромному онлайн-рынку игр, поскольку кошелек Steam используют для хранения средств и покупки игр.
Valve наиболее известна благодаря Steam, одной из крупнейших платформ для обмена и продажи видеоигр. Steam используют как крупные AAA-разработчики, так и инди-студии, а несколько небольших игр получили широкую известность благодаря именно этому магазину. Ввиду своей известности в игровом мире, Valve зарегистрирована на Hackerone – сайте, который программисты-фрилансеры могут использовать для связи с крупными компаниями. Зачастую эти программисты пытаются обнаружить потенциальные уязвимости в веб-сайтах и приложениях, подобных Steam.
По сообщению издания Kotaku, одному из программистов Hackerone удалось предотвратить потенциально катастрофический эксплойт в Steam. Программист, под ником drbrix, обнаружил, что пользователи сервиса могли добавить гипотетически неограниченное количество средств в свои кошельки с помощью эксплойта, связанного с голландской платежной платформой Smart2Pay. По сути, выбрав этот вариант оплаты во время оформления заказа и используя определенный адрес электронной почты, хакеры могли перехватить транзакцию и увеличить депозит намного больше его первоначальной суммы. К счастью, drbrix добровольно предоставил эту информацию Valve и получил за свои усилия вознаграждение в размере $7500. Valve выпустила патч, предотвращающий использование этого эксплойта.
Как отмечается в статье Kotaku, $7500 кажется очень маленьким вознаграждением за обнаружение столь серьёзной проблемы в системе безопасности Steam. Злоумышленники представляют собой серьезную финансовую угрозу для игровых компаний. Недавний пример подобной угрозы можно увидеть во взломе данных EA этим летом. Эксплойт, который удалось обнаружить drbrix, возможно, имеет ещё больший потенциал для нанесения урона компании.
Независимо от того, была ли выплата Valve соразмерна достижениям drbrix, пользователи Steam могут быть спокойны, зная, что такая уязвимость была устранена. Однако столь очевидная брешь в системе безопасности сервиса вызывает вопросы относительно общей целостности платформы. Будем надеяться, что этот эксплойт для кошелька Steam- всего лишь исключение.
Ещё по теме:
- Black Book вышла. Рассказываем, почему стоит поиграть в мрачное приключение на основе славянских мифов
- Apple, Google и Amazon отложили запуск стандарта для умного дома Matter до 2022 года
- Konami выпустит Castlevania: Grimoire of Souls в Apple Arcade