La vulnerabilidad de Steam permitía a cualquier usuario alterar el balance de su billetera en la plataforma.
El pasado 9 de agosto se alertó a Valve sobre un error de seguridad en la cartera de Steam, la cual es utilizada para agregar fondos y poder comprar juegos en la amplia biblioteca digital. El hallazgo fue reportado por el usuario drbrix a través de HackerOne, la popular plataforma de bug bounty.
La vulnerabilidad de Steam permitía a cualquier usuario alterar el balance de su billetera en la plataforma, pero luego de reportar el error, Valve lo corrigió y pagó $7500 dólares por reportarlo.
¿Cómo funciona este error?
Según explicó drbrix, para poder abusar del error lo primero que se debe hacer es modificar la dirección de correo de la cuenta de Steam a una dirección que incluya el término “amount100”. Por ejemplo, “brixamount100abc@xxx.xxx”, explicó el investigador. Al hacer esto, el usuario/atacante puede interceptar las solicitudes POST entre Valve y Smart2Play al evadir el hash criptográfico para la protección de las transacciones, explicó Threatpost. Para hacer esto, el pago debe realizarse seleccionando cualquier alternativa que utilice el método de pago Smart2Play, que es una plataforma de pago tercera con la que se comunica el API de Steam para realizar el proceso.
Valve lo considera bug crítico
La empresa elevó el bug a la categoría de “crítico” tras analizar las posibles consecuencias.
“Gracias a la persona que nos avisó del bug hemos podido trabajar junto con el proveedor de pagos para resolver los problemas sin ninguna repercusión para los consumidores”, ha explicado Valve en declaraciones a The Daily Swig, donde no ha confirmado si alguien ha logrado aprovecharse del exploit. Además, han expresado su intención de volver a trabajar con el hacker próximamente: “Esperamos escuchar más sobre ti en el futuro”.
De momento, Valve no ha explicado si esta vulnerabilidad fue explotada por hackers o si atajó el problema antes de que nadie pudiese beneficiarse de ello.
También te podría interesar: Valve muestra como es jugar con el Steam Deck