Элементарно. Чувак занимался интеграцией Smart2Pay в какой-нибудь сервис. После чего полез пополнять кошелёк в Стиме, увидел Smart2Pay в списке платёжек. Он уже знает, какого рода там флоу и может предположить, где возможно накосячить, так как сам натыкался на эту уязвимость в аналогичной ситуации. Ну и проверил
Мне очень интересно каким макаром злоумышленники умудрились узнать про этот баг.
Элементарно. Чувак занимался интеграцией Smart2Pay в какой-нибудь сервис. После чего полез пополнять кошелёк в Стиме, увидел Smart2Pay в списке платёжек. Он уже знает, какого рода там флоу и может предположить, где возможно накосячить, так как сам натыкался на эту уязвимость в аналогичной ситуации. Ну и проверил
Местечковые злоумышленники (мамкины кулхацкеры) могли узнать про этот баг почитав новость новость на ДТФ, например.
Международные злодеи, скорее всего, узнали про уязвимость после прочтения топика на HackerOne.
Загугли в ютубе Google Vulnerability Reward Program, там ребята и не такие баги находят