Отправка писем с произвольным текстом/кликабельными ссылками любому зарегистрированному пользователю с указанной почтой, зная только steamid

Using a third-party service `GetResponse` used on the project and the 2FA deactivation functionality combined, a hacker found a way to send **arbitrary text** to **any** user, knowing only the victim's SteamID. *The vulnerability relied on:* 1. Invalid cookie management in request; 1. No additional validation for email ownership.