DigitalOcean пропатчил уязвимость применения промо-кодов

Хостер DigitalOcean устранил уязвимость с многократным применением промо-кодов. Теперь коды используются только один раз. Раньше один и тот же промо-код можно было применить десятки раз в течение нескольких секунд. Это делалось с помощью перехвата POST-запроса к адресу https://cloud.digitalocean.com/promos, который отправляется при активации промо-кода. Затем этот POST-запрос повторялся многократно и как можно в более короткий промежуток времени.

С помощью такого нехитрого метода можно было многократно зачислить один и тот же бонус на свой аккаунт. Эта ошибка называется «состояние гонки» (race condition).

Хакер, который сообщил об уязвимости в DigitalOcean, 23 раза использовал один и тот же промо-код на десять долларов. Он жалеет только, что в то время у него было промо-кода на $100, который распространяется в рамках образовательного пакета Github.

Автор не получил вознаграждения от DigitalOcean, но они любезно оставили ему все тестовые аккаунты, где он нагенерировал себе денег во время проверки уязвимости.