К сожалению, хостинг DigitalOcean устранил уязвимость с многократным применением промо-кодов. Своеобразный «аттракцион невиданной щедрости» завершён. Теперь коды используются только один раз.
Раньше один и тот же промо-код можно было применить десятки раз в течение нескольких секунд. Это делалось с помощью перехвата POST-запроса к адресу https://cloud.digitalocean.com/promos, который отправляется при активации промо-кода. Затем этот POST-запрос повторялся многократно и как можно в более короткий промежуток времени.
С помощью такого нехитрого метода можно было многократно зачислить один и тот же бонус на свой аккаунт. Эта ошибка называется «состояние гонки» (race condition).
Хакер, который сообщил об уязвимости в DigitalOcean, 23 раза использовал один и тот же промо-код на десять долларов. Он жалеет только, что в то время у него было промо-кода на $100, который распространяется в рамках образовательного пакета Github.
Автор не получил вознаграждения от DigitalOcean, но они любезно оставили ему все тестовые аккаунты, где он нагенерировал себе денег во время проверки уязвимости.
К счастью, такая уязвимость с многократным применением промо-кодов ещё сохраняется на многих других сайтах, в том числе в интернет-магазинах.