Resuelven una vulnerabilidad que permitía tener dinero ilimitado en la cartera de Steam

Hoy conocemos que Valve ha encontrado y corregido un curioso exploit que habría permitido a un usuario falsificar el valor de los fondos en su cartera de Steam. Eso sí, este exploit fue descubierto por un usuario llamado "dbrix", el cual dio la voz de alerta en HackerOne, una página web de recompensas por errores de hacking de white-hat.

El exploit funcionaba, por ejemplo, convirtiendo un depósito de 1 euro en un depósito de 100 euros. Esto se conseguía cambiando la dirección de correo electrónico de la cuenta por una que incluyera "amount100" (cantidad 100), y luego interceptando un mensaje a la API de una compañía de pagos.

Steam

Valve y drbrix hicieron pública la vulnerabilidad una vez que se implementó una solución al problema para que los usuarios no pudieran abusar de el. Drbrix publicó primero el fallo como de prioridad "media", diciendo: "Creo que el impacto es bastante obvio, el atacante puede generar dinero y romper el mercado de Steam, vender claves de juegos a bajo precio, etc.".

Valve, después de probar el exploit y poner a prueba una solución que corrigiera el problema, elevó el fallo a gravedad "Crítica" y efectuó el pago de una recompensa valorada en 6.400 euros "reflejando el coste potencial para el negocio."

Artículos relacionados