Apenas para fins informativos

Geo: 8 domínios no segmento EUA/UE
Preço: $20k

O vendedor afirma que uma única solicitação de API pode ser usada para executar código JavaScript em todos os 8 domínios de um agregador de lojas de chaves de jogos, que atrai cerca de 2,5–3,5 milhões de visitantes únicos por mês, principalmente dos EUA, Reino Unido e Alemanha.

Notavelmente, isso alegadamente não é uma injeção de terceiros, mas um "script legítimo de primeira parte" que, segundo o hacker, é confiável para navegadores, AdBlock e listas de permissão de sites.

O público principal consiste em gamers, principalmente usuários do Windows, muitos dos quais supostamente têm contas no Steam e PayPal.

Como um "bônus", o vendedor está oferecendo credenciais de banco de dados e segredos de aplicativos. No entanto, o acesso direto à infraestrutura parece ser limitado com base na descrição: as portas estão protegidas por firewall e é necessário acesso local.

💬 Discutir

Acesso por injeção de JS a uma rede de sites de chaves de jogos oferecido à venda