Hay un montón de hackers expertos en seguridad que dedican su tiempo libre a encontrar vulnerabilidades. Sin embargo, pocos han hecho hallazgos de seguridad tan entretenidos como éste: resulta que un hacker encontró una vulnerabilidad en Steam que le permitia conseguir dinero ilimitado completamente gratis.
En Hackerone, sitio que conecta a compañías importantes con hackers que buscan vulnerabilidades, un hacker compartió un error grave en Steam, la plataforma de Valve. Resulta que un exploit en Steam Wallet permitiría cambiar tu correo e interceptar transacciones de quienes usen Smart 2Pay como método de pago. Sin entrar en más detalles, esto permitía generar fondos ilimitados para comprar juegos y generar ganancias con diferentes tipos de negocios ilegales.
“Creo que el impacto es muy obvio, los atacantes pueden generar dinero y romper el mercado de Steam, vender códigos de juegos muy baratos, etc”, explicó Drbrix, hacker que hizo el reporte en Hackerone.
Como puedes imaginar, Valve respondió rápidamente al hallazgo de Dribix. Un empleado de Valve conocido como JonP agradeció al hacker por su hallazgo y confirmó que el exploit era real. También reconoció que el reporte fue útil para identificar un verdadero riesgo de negocio.
El 9 de agosto, un usuario de Hackerone llamado Drbrix alertó de un fallo en Steam Wallet que te permitía cambiar tu dirección de correo electrónico e interceptar las transacciones que utilizan cualquier método de pago Smart2Pay. Puedes leer mas sobre el funcionamiento del ataque en el informe de Hackerone, que se hizo público el 10 de agosto.
“Creo que el impacto es bastante obvio, el atacante puede generar dinero y romper el mercado de Steam, vender claves de juegos por poco dinero, etc.”, explicaba Drbrix en su informe.
Mas tarde Valve le pagó a Drbrix 7500 dólares, pero visto lo visto no parece que sea una cantidad acorde al descubrimiento de Drbrix. Si esta vulnerabilidad se hubiera hecho pública o se hubiera compartido entre algunos grupos pequeños de personas, podría haberle costado a Valve mucho más que esos 7500 dólares. Venga, hombre. Sin ir más lejos, Riot Games ofrecía hasta 100.000 por encontrar vulnerabilidades en Valorant.
Después de que todo fuese arreglado, Valve y Drbrix compartieron públicamente el informe al completo. De momento no sabemos si alguien pudo usar esta vulnerabilidad antes de que Valve pudiera parchearla.
Fuente: Agencias