Valve recompensa con 7.500 dólares al hacker que lo descubrió y esperan trabajar con él en el futuro.
Una de las máximas en el desarrollo del software es que todo sistema es vulnerable a los ataques. Y los white hat hackers son una ayuda inestimable para encontrar las brechas de seguridad antes de que nadie las pueda aprovechar. Así ha sido el caso con un exploit de Steam que permitía obtener el sueño de cualquier jugador de PC: dinero infinito para la cartera de la tienda. Una vulnerabilidad que ya ha sido corregida por Valve, así que no os emocionéis demasiado.
Como comparte The Daily Swig, un hacker conocido como drbrix encontró este exploit que permitía convertir 1 dólar de la cartera de Steam en la cantidad que uno quisiera, ya sean 100 dólares como 100.000, por poner un ejemplo. Esto se conseguía al cambiar la dirección de email de la cuenta de Steam por una que contuviera el término "amount100", para luego añadir fondos a la cartera de la tienda por medio de Smart2Pay.
Al procesar la compra, un atacante podría interceptar la POST request que enviaba la API de Smart2Pay y editarla para modificar la cantidad de dinero que se ha comprado, pudiendo ingresar la cantidad de dinero que quisiera en la tienda por un sólo dólar pagado. Los detalles de esta vulnerabilidad fueron publicados de manera privada por drbrix en el foro de hacking ético HackerOne, calificando su severidad como "moderada". Aunque, dado lo que entraña este exploit, Valve no tardó en calificarlo como "crítico" y en solucionarlo lo más rápido posible.
La compañía de Gabe Newell ha recompensado con 7.500 dólares a este hacker por identificar y detallar la vulnerabilidad, además de comentarle que "esperamos tener más noticias de ti en el futuro". El error con Smart2Pay está solucionado, aunque Valve no confirma si algún usuario ha llegado a aprovechar este exploit, o si se ha cerrado antes de que nadie lo aprovechara. En otro orden de cosas, os recordamos que Valve se encuentra enfrascada en el lanzamiento de Steam Deck, su consola portátil de PC que ha ilusionado a gente como Phil Spencer.
Suscríbete al canal de 3DJuegos en YouTube