Valve solucionó un fallo de seguridad que permitía añadir fondos ilimitados a la Cartera de Steam

Benzo
12 0 30
Noticias » Juegos
Un investigador de seguridad conocido bajo el alias de Drbrix encontró un fallo de seguridad en Steam que permitía añadir fondos ilimitados a la cartera de la tienda digital. El exploit fue reportado a Valve mediante la plataforma Hackerone el 9 de agosto y un día después la compañía lo consiguió replicar y solucionar. El hacker consideró que se trataba de un fallo de gravedad moderada, pero Valve lo elevó a crítico y lo recompensó con 7.500 dólares.

En el registro de Hackerone que ahora ha quedado descubierto, Drbrix explica cómo el fallo de seguridad permitía a un atacante convertir un depósito de 1 euro en la Steam Wallet en uno de 100 euros, el máximo por transacción. Para hacerlo se tenía que cambiar el correo electrónico de Steam por uno nuevo que incluyese “amount100” y añadir fondos mediante la plataforma Smart2Pay, para posteriormente interceptar el mensaje de la API y editarla con la cantidad deseada. De esta forma se podría añadir 1 euro a la cartera y recibir 100.

“Creo que el impacto [del falló de seguridad] es obvio, el atacante puede generar dinero y romper el mercado de Steam, vender claves a bajo precio…”, dice Drbrix en su informe. Por su parte, Valve respondió mediante JonP, que además de agradecer el aviso del hacker le informó que la compañía ya estaba trabajando en tomar medidas para atajar el problema. Después de aplicar la solución Drbrix comprueba que no puede ejecutar de nuevo el exploit.

Posteriormente, el mismo empleado de Valve le indica al hacker que el informe estaba claramente redactado y que fue útil para identificar un riesgo real para el negocio, motivo por el cual eleva de moderada a crítica la severidad del fallo de seguridad. Esto significa que la recompensa pasa de 750 a 7.500 dólares. Las cantidades de dinero que Valve (o cualquier otra compañía) paga por fallos de seguridad mediante Hackerone está preestablecida, pero siempre puede abonar más dinero del previsto si así lo considera oportuno.

En 2018 Valve decidió abonar 20.000 dólares a un hacker que usó Hackerone para informar a la compañía sobre un fallo de seguridad que permitía generar códigos de juegos en Steam. En esa ocasión el exploit estaba en Steamworks y con un solo cambio en un parámetro cualquier persona con una cuenta de desarrollador podría generar miles de claves de activación de cualquier título disponible en la tienda digital. Valve ha pagado un total de 1.505.550 dólares por fallos de seguridad reportados mediante Hackerone.
30 comentarios
  1. (embed)
  2. 7.500 dólares por un exploit que permite multiplicar por 100 el dinero?
    La honestidad está pagada como el culo.

    Un saludo,
  3. Barato
  4. 7.500$ por encontrar un error que podría haber costado una millonada a Valve (te pones una cantidad increíble de dinero, compras los items mas caros en el mercadillo, y luego los revendes en páginas externas).

    Menos es nada, pero joder, ese dinero lo consiguen cuando sale un triple A nuevo en diez minutos...
  5. No conocía esa web, peor me parece una plataforma con una idea fantástica.
  6. La verdad es que la recompensa de Valve me parece irrisoria con respecto al daño que potencialmente podría haberles causado de haber sido descubierto por otras personas que se hubieran dedicado a explotarlo [+risas]
  7. 7500€ por un fallo que les podría haber costado millones.

    El chiste se cuenta solo [qmparto]
  8. Sale más rentable vender el método de multiplicar el saldo.
  9. $7.500 ...

    (embed)

    Como bien indica el compañero de arriba, le salía más rentable hacer negocio con el exploit (porque imagino que él era de los pocos si no el único que lo conocía) y vender claves a mansalva que aceptar esos 7.500 de Valve.
    Vaya puta mierda de negocio es la honestidad en el mundo real.
  10. Recordad que el pedía menos y fue Valve quien subió la recompensa y ni mucho menos habría costado millones, le habría costado a Valve mala publicidad pero no millones puesto que en cuanto se hubiese empezado a usar Valve lo habría notado y anulado ese saldo (cabreando a los que lo compraran) pero no hubiera perdido ese dinero.

    Saludos
Ver más comentarios »