Un experto de seguridad descubrió hace poco un exploit que podía usarse en Steam para obtener dinero ilimitado. Desde entonces, Valve ha parcheado esta vulnerabilidad y decidió darle 7500 dólares al usuario que la descubrió.
Hackerone es una web que conecta a empresas como Valve y a hackers a los que les gusta indagar en páginas web, aplicaciones y otras piezas de software. Estas personas pueden enviar vulnerabilidades y hacks a empresas de forma privada y, a cambio, estas empresas de tecnología pueden otorgar dinero a los hackers por sus hallazgos. Este sistema ayuda a las empresas a parchear sus fallos de seguridad antes de que se lleguen a hacer públicos.
El 9 de agosto, un usuario de Hackerone llamado Drbrix alertó de un fallo en Steam Wallet que te permitía cambiar tu dirección de correo electrónico e interceptar las transacciones que utilizan cualquier método de pago Smart2Pay. Puedes leer mas sobre el funcionamiento del ataque en el informe de Hackerone, que se hizo público el 10 de agosto.
“Creo que el impacto es bastante obvio, el atacante puede generar dinero y romper el mercado de Steam, vender claves de juegos por poco dinero, etc.”, explicaba Drbrix en su informe.
Como era de esperar, Valve respondió rápidamente a la publicación de Drbrix. Un empleado de Valve llamado JonP agradeció a Drbrix su hallazgo y explicó que Valve había validado rápidamente lo que informaron y estaba tomando medidas para solucionar el problema.
Mas tarde Valve le pagó a Drbrix 7500 dólares, pero visto lo visto no parece que sea una cantidad acorde al descubrimiento de Drbrix. Si esta vulnerabilidad se hubiera hecho pública o se hubiera compartido entre algunos grupos pequeños de personas, podría haberle costado a Valve mucho más que esos 7500 dólares. Venga, hombre. Sin ir más lejos, Riot Games ofrecía hasta 100.000 por encontrar vulnerabilidades en Valorant.
Después de que todo fuese arreglado, Valve y Drbrix compartieron públicamente el informe al completo. De momento no sabemos si alguien pudo usar esta vulnerabilidad antes de que Valve pudiera parchearla.