El investigador de seguridad Artem Moskowsky encontró un error en Steam que le dio acceso a infinitas claves gratuitas para cualquier juego en la plataforma de distribución digital, pero en lugar de abusar del exploit, lo informó a Válvula por una recompensa de 20.000 dólares.
Moskowsky le dijo a The Register que accidentalmente descubierto la vulnerabilidad al navegar por el portal de socios de Steam, que es el sitio web donde los desarrolladores administran los juegos que se pueden descargar en la plataforma. El investigador de seguridad, que hizo carrera como cazador de errores, notó que era fácil cambiar los parámetros de una solicitud API, lo que le proporcionaba claves de activación para ciertos juegos.
Vídeos recomendados
La API permite a los desarrolladores adquirir claves de licencia para sus juegos, que luego pueden pasar a los jugadores. Sin embargo, como señaló Moskowsky, un atacante que tiene acceso al portal de socios de Steam podría haber abusado de él para generar una cantidad infinita de claves de activación para cualquier juego en Internet.
Vapor. También es bastante fácil hacerse pasar por desarrollador para obtener acceso al portal de socios, por lo que prácticamente cualquiera podría haberse aprovechado de la vulnerabilidad.Relacionado
- Pruebe estas 6 excelentes demostraciones gratuitas de juegos para PC durante Steam Next Fest
- Por qué vendí mi computadora portátil para juegos para comprar una Steam Deck
- Cubierta de vapor vs. Juegos en la nube: ¿Cómo se comparan?
Moskowsky dijo que ingresó una cadena aleatoria en la solicitud de API para verificar la gravedad del error. Luego recibió 36.000 claves de activación para Portal 2, que se vende a 10 dólares en Steam, por un valor total de unos 360.000 dólares en un solo comando.
El error de Steam ahora ha sido grabado en el sitio web de recompensas por errores HackerOne, donde se puede ver que Moskowsky informó del exploit a Valve el 7 de agosto. Valve tardó sólo unos días en reparar la vulnerabilidad y otorgar a Moskowsky una recompensa de 15.000 dólares y un bono de 5.000 dólares.
Valve tiene suerte de que el exploit haya sido descubierto por un hacker honesto como Moskowsky. La recompensa de 20.000 dólares a Moskowsky es minúscula comparada con las posibles pérdidas que tendría Steam sufrido si el error fue ampliamente utilizado por piratas para obtener claves de activación gratuitas para todos los juegos en el plataforma.
Sorprendentemente, esta no es la mayor recompensa que Moskowsky ha recibido de Valve. En julio, el investigador de seguridad recibió 25.000 dólares por informar de un error de inyección SQL, que también se descubrió en el portal de socios de Steam.
Recomendaciones de los editores
- Puedes obtener un Steam Deck con un 20% de descuento ahora mismo durante la oferta de verano de Steam
- La aplicación móvil Steam actualizada te permite descargar juegos desde tu teléfono
- ¿Reservaste una Steam Deck? Aquí están los primeros juegos Deck Verified que deberías jugar
- Un nuevo juego derivado de Portal llegará a Steam Deck
- 3 razones por las que Steam Deck es la computadora de mano para juegos definitiva
Mejora tu estilo de vidaDigital Trends ayuda a los lectores a mantenerse al tanto del vertiginoso mundo de la tecnología con las últimas noticias, reseñas divertidas de productos, editoriales interesantes y adelantos únicos.
