1美元變成百上千?Valve的關鍵漏洞讓玩家向Steam wallet注入無限資金

Valve在其Steam平臺上發現了一個API漏洞，即濫用Smart2Pay系統向玩家的數字錢包中新增無限資金。

一名安全研究員幫助遊戲平臺Steam的開發商Valve填補了一個容易被利用的漏洞，該漏洞允許使用者向他們的數字錢包中新增無限的資金。只要改變賬戶的電子郵件地址，這個漏洞就可以讓任何人人為地把他們的數字錢包變成他們想要的情況。

Steam Wallet資金僅用於Steam平臺，用於購買遊戲內商品、訂閱和Steam相關內容。Valve限制Steam積分(或貨幣)在其網路之外進行購買或交易。然而，有幾種未經批准的方法可以將錢包裡的資金轉換成實際的美元。

駭客：將1美元變成100美元或100萬美元

這一漏洞被濫用了Valve自己的應用程式程式設計介面(API)，該介面用於與Nuvei旗下的第三方網路支付公司Smart2Pay通訊。

據研究人員稱，駭客允許攻擊者攔截從Valve傳送到Smart2Pay的POST請求。這是透過修改Steam使用者的電子郵件地址來實現的。

“首先，您必須將Steam帳戶電子郵件更改為類似(我將在接下來的步驟中解釋為什麼金額 100 是重要部分)：brixamount100abc@█████，”研究人員寫道。

這允許攻擊者操縱Valve和Smart2Pay之間的通訊，從而繞過用於保護交易資料的加密雜湊。

“我們無法更改引數，因為有帶有簽名的雜湊欄位，但是簽名是像雜湊(ALL_FIELDS_NAMES_VALUES_CONTACTED)一樣生成的，”研究人員寫道。“我們可以以某種方式改變引數，從而改變我們的數量。”

Valve的引數可能是，攻擊者可以簡單地透過改變電子郵件請求的格式將$1變成$100。

“hash(MerchantID1102MerchantTransactionID█████Amount2000.....)”攻擊者只需更改電子郵件請求的格式即可將1美元變成100美元。

“因此，透過我們的特殊電子郵件，我們可以透過改變數量的方式移動引數。比如我們可以把原來的Amount=2000改成Amount2=000，聯絡之後還是Amount2000。然後我們可以將電子郵件從CustomerEmail=brixamount100abc%40████ 更改為 CustomerEmail=brix&amount=100&ab=c%40█████████，這樣我們就可以用我們的值新增新的欄位金額。”

Valve首先將這個漏洞評為中等重要性。但經過調查後將該漏洞升級為本質上的嚴重漏洞，將其評分為“9-10”，最高評分為10。

儘管此漏洞並未由駭客利用及攻擊網路，但在一定程度上也為企業帶來嚴重經濟損失。潛伏在系統中的安全漏洞可以成為企業一個“潛在危險”，一旦在網路攻擊中被駭客利用，為企業帶來的影響及損失是不可計數的。資料顯示，駭客在發動網路攻擊時，最常用的前三名中，就包括軟體安全漏洞。而漏洞在軟體開發期間是可以檢測並修正的。資料顯示，超過6成的安全漏洞均與程式碼有關，而 靜態程式碼檢測可以有效減少30%-70%的安全漏洞。建議企業重視網路安全問題，在軟體開發及驗收階段，強化漏洞評估與修復、惡意程式碼檢測等管理要求。