Drbrix avisó a Valve de un error crítico en la plataforma que podría haber terminado con la misma
Estructurar una parte importante de tu negocio sobre internet tiene sus riesgos. Un ejemplo de ello son las prácticas del ejército de hackers de Corea del Norte, ya que los asiáticos utilizan sus conocimientos para infiltrarse en empresas norteamericanas con las que obtienen dinero que destinan al régimen norcoreano. Por desgracia, este tipo de tácticas también afectan a compañías gigantes, siendo un ejemplo de ello firmas tan grandes como Apple o, en lo que concierne al mundo de los videojuegos, Valve y la conocidísima Steam.
Para contar la historia protagonizada por la compañía fundada por Gabe Newell, debemos viajar hasta 2021. Como señaló Kotaku, un investigador de seguridad (conocido como Drbrix) descubrió una vulnerabilidad que reportó de forma privada a Valve a través de la plataforma HackerOne. En ella, indicó que el fallo permitió manipular solicitudes de POST durante una recarga desde el método de pago Smart2Pay. De esta forma, los usuarios podían modificar parámetros y, en resumidas cuentas, añadir dinero por encima del que habían pagado. Esto, dicho con otras palabras, implica que Steam se enfrentaba a la posibilidad de que sus usuarios tuvieran fondos infinitos.
Valve pagó a Drbrix por su descubrimiento
Como dice la publicación original, el atacante tendría que cambiar su correo asociado a Steam para incluir la cadena "amount100" (u otro número), una situación que permitía insertar un nuevo parámetro con valor arbitrario. Al cambiar el mail, se iniciaba la recarga (ejemplo 1 euro vía Smart2Pay), se interceptaba la petición y se cambiaba el montante final a, por ejemplo, 1.000 euros. Así, aunque los fondos solo se utilizan dentro de Steam, el exploit podría llegar a quebrar el mercado digital de la plataforma de juegos y dar pie a la venta de claves a bajo coste.
A raíz de la gravedad de la situación, Valve calificó el informe como "crítico" e indicó que el riesgo era considerable para su negocio. Como recompensa, pagó a Drbrix 7.000 euros por su descubrimiento (mucho más que lo que paga Apple por descubrir fallos) y trabajó junto al proveedor de pagos para corregir la vulnerabilidad. En cuestión de días, muchos usuarios utilizaron esta práctica para generar fondos infinitos, pero el error se solventó y el sistema dejó de ser vulnerable.
Tras aplicar el parche, la propia Valve informó de la situación en el citado foro y envió una nota de prensa para que los medios especializados se hicieran eco de la noticia. No obstante, una vez solventado el error, la atención se centró en otro escenario, ya que muchos señalaron que la recompensa que recibió Drbrix no estaba a la altura del error que descubrió, ya que explotar este fallo habría provocado pérdidas millonarias a Valve. Así, aunque la compañía sufrió daños moderados, algunos señalaron que podrían haber pagado más al usuario que descubrió el error, sobre todo teniendo en cuenta la fortuna que ostenta Gabe Newell.
Imagen principal de 3DJuegos
En 3DJuegos | Valve actualiza para siempre la forma en que se verán las notas en Steam, acabando con 7 años de costumbre
Ver todos los comentarios en https://www.3djuegos.com
VER 5 Comentarios