Valve paga 20.000 dólares a un hacker que descubrió un error que generaba códigos de juegos en Steam

Archivado
1, 2
El investigador de seguridad Artem Moskowsky encontró el pasado verano un fallo en Steam que permitía generar miles de claves gratuitas para cualquier título disponible en la plataforma de distribución digital. En ese momento Moskowsky se enfrentó a la difícil decisión de una vida de juegos gratis o recibir una recompensa económica por parte de Valve. Para fortuna de la compañía el investigador escogió la segunda opción y se terminó embolsando 20.000 dólares, 5.000 de los cuales son un bonus por guardar silencio.

Moskowsky informó del error el 7 de agosto de 2018 y Valve lo solucionó hace unas semanas, pero no ha sido hasta ahora que la compañía ha permitido que se haga público mediante Hackerone, una plataforma que facilita el contacto entre hackers y el equipo de seguridad de una empresa. De acuerdo con el breve resumen facilitado por Valve, el error se aprovechaba de un fallo en Steamworks. Cambiando un solo parámetro, cualquier persona con una cuenta de desarrollador podría generar miles de claves de activación de cualquier juego disponible en la tienda.

En declaraciones a The Register, Moskowsky ha explicado que la vulnerabilidad encontrada en las herramientas de desarrollo de Steam le permitió saltarse la verificación de propiedad de un juego. Después solo tenía que poner la ID del título que quisiera para conseguir tantas claves de activación como deseara. Durante sus pesquisas el hacker logró hacerse con 36.000 claves de Portal 2, juego desarrollado por Valve. La compañía ha confirmado que la investigación llevada a cabo a raíz de este descubrimiento no encontró ninguna evidencia que el error haya sido utilizado con mala intención.

No es la primera vez que Moskowsky cobra por haber cazado un bug en Steam. Hace unos meses Valve le pagó 25.000 dólares por descubrir un error que permitía realizar un ataque a ciegas por inyección SQL. Ambos fallos fueron valorados como críticos.

Fuente: GamesIndustry
20000 dólares?

Pocos son.
Joder, solo 20k? Yo me hubiera callado ratataaaa ratataaaa ratataaaa
(mensaje borrado)
A tomar viento las claves baratas de CDkey y similares [poraki]
Me parecen muy pocos esos 20000$ dolares siendo el fallo es.
Deberían directamente ficharlo para su plantilla.
(mensaje borrado)
Que ratas, demasiado generoso ha sido.
Todavía hay gente con principios. No perdamos la esperanza en el ser humano...
Pues si, ole el por tener buenos principios.
Le sobran 14000 dolares despues de pagar la edicion completa del Train simulator..
Pues sí que fue generoso, y más para las pérdidas que le habría generado a Steam, por eso 20.000$ me parecen demasiado pocos.
20.000$ me parece reírse del tio. En un dia podía haber generado códigos de juegos que superasen en valor el dinero que ha cobrado...
Muy bien por el hombre. Queda gente sensata en el mundo.
Es OBVIO que cogería la segunda opción, acaba de echar un curriculum top 1 en empresas que busquen aumentar la seguridad de sus servidores
Yo huebiese hecho lo mismo.
Igual vas de listo pidiendo más, descubren el fallo y te quedas sin juegos y sin pasta.
Si ya ha descubierto más vulnerabilidades, lo mejor es contratar a ese tio por un buen sueldo. Es lo que haría yo.
Vamos a ver, el tipo es cazabugs profesional.
No recuerdo donde lo he leido, pero llevaba ya 60.000$ este año en bugs de estos. Este ha sido sólo el más sonado.

En el mismo enlace de The Register dicen que Valve le dió otros 25.000$ en Julio.

Vamos, que sin reputación, se acabo el trabajo. Saca bastante más con esto que revendiendo juegos que Steam podría averiguar como robados y denunciar.
Independientemente de que haya cobrado poco o mucho, el problema que se le presenta ahora es que todas las paginas que se lucraban de ese fallo (codigos baratos) van a querer su cabeza en bandeja de plata. Es el problema de la gente sensata, que encuentras muchos enemigos.
Muy poco...
Demasiado poco me parece.
Qué ratas los de Steam... [+risas]

Saludos :)
Yo se de un fallo pero es como intentar sacar un drop del WOW que tiene 0.003% en una H25. Dicho fallo no tiene arreglo y el juego que sacas es totalmente ramdom pero al menos sacas un juego gratis, eso si, pueden banearte la cuenta de Steam si te pillan. El fallo en cuestión se ha visto en directos y es que entre el momento que compras en una tienda no oficial de Steam y el momento que el usuario activa la clave es posible ponerla en tu cuenta, claro que dispones de un corto tiempo que no conoces y de una clave que desconoces, a menos que lo hayas visto en un directo de alguno que se le olvido tapar o no mostrar la clave.

De todas formas mejor así, un bug menos ya que VALVe no es nada flexible con los errores y basta que ocurra un error aunque sea por su parte para que te hagan un ban en la cuenta y perderlo todo.
Una vez intente cargar 20€ al monedero de Steam desde mi tarjeta de prepago y me salia que no tenia saldo suficiente algo imposible porque acababa de cargarla de pasta, después intente cargar 10€ pero tampoco, a los pocos segundos ya me llamo el banco que VALVe había avisado de un intento fraudulento con mi cuenta de usuario y tarjeta de prepago y que a ver si me la habían robado, explique lo sucedido y al final perdí dos semanas de discusiones entre VALVe y Banco, que se daban la culpa el uno al otro de que el tarjeta no tuviera saldo para realizar recarga al monedero de steam, al final fue culpa de VALVe que su sistema se traga dinero para verificar la tarjeta tiene fondos y es válida, pero tuve que esperar esas dos semanas para que al final lo mencionara VALVe y ni se disculparon sino que encima me soltaron que para la próxima ya lo se y que si vuelvo hacerlo me bloquearían la cuenta. Encima que fue su culpa y no avisan de su sistema de comprobación me amenazan con un ban. Desde entonces no he vuelto a compra en Steam, ya es el cuarto año que no compro nada.
Joder os parecen pocos 20mil dólares?
Otras empresas lo mismo le daban las gracias y le regalaban un par de juegos y santas pascuas,
además que seguro que lo tendrán en cuenta si necesitan algún empleado.
HongKi está baneado por "Game over"
bueno, pensar que al chaval quizá le importa un pimiento y no juega a nada, asi que para que quiero juegos gratis xD
Benzo escribió:Durante sus pesquisas el hacker logró hacerse con 36.000 claves de Portal 2, juego desarrollado por Valve.

El chico pondrá anuncio de: Vendo boli por 2€ y regalo clave portal 2, tengo 36.000 bolis..... [qmparto]
En breve veremos que este chico ha fallecido en circunstancias desconocidas [rtfm]
45.000 dolares en pocos meses y la conciencia tranquila, no es mucho, Valve lo que tenia que hacer es tenerlo ya en su plantilla fija.
@pemagiar Hombre pues es un fallo bastante gordo, del cual si hubiera quiero hubiera sacado una pasta y ni se habrían dado cuenta, porque imagina que cualquier lanzamiento tocho se saca 100 claves para no levantar sospecha y las vende a 30€ imagina que se dan cuenta en 2 o 3 años y haz calculos, vamos que se podrían haber estirado un poco más
herzio escribió:Independientemente de que haya cobrado poco o mucho, el problema que se le presenta ahora es que todas las paginas que se lucraban de ese fallo (codigos baratos) van a querer su cabeza en bandeja de plata. Es el problema de la gente sensata, que encuentras muchos enemigos.


No os montéis películas, que en la propia noticia Valve dice que no les consta que nadie haya usado ese error para generar códigos.
Vaya manera de regalar tu trabajo.
Generar claves no hubiera servido de nada a medio plazo, ya que en algún momento Valve hubiera descubierto el error o las claves generadas ilegalmente y hubiera empezado un baneo de claves o incluso de cuentas masivo.
bartletrules escribió:
herzio escribió:Independientemente de que haya cobrado poco o mucho, el problema que se le presenta ahora es que todas las paginas que se lucraban de ese fallo (codigos baratos) van a querer su cabeza en bandeja de plata. Es el problema de la gente sensata, que encuentras muchos enemigos.


No os montéis películas, que en la propia noticia Valve dice que no les consta que nadie haya usado ese error para generar códigos.

Además que son páginas de Keys, no la mafia rusa xD
La gente ha visto demasiadas pelis de espías.
Aquí todos diciendo que lo que tenía que hacer Valve era ficharlo...¿Para pagarle cuánto?A ver si ha salido ganando y todo teniendo en cuenta todo lo que se está viendo en el sector laboral de los programadores y empresas de videojuegos.
Yo me se otro bug parecido, se trata de hackear google mediante poner en el buscador portal 2 gratis mega 100% sin encuestas taringa y luego te lo bajas con su medisina, pones mis dies y ya lo tienes 100% gratis no surveis adfly mi aporte 1 solo link garantizado haga click aqui para cerrar esta pagina
mmiiqquueell escribió:
Una vez intente cargar 20€ al monedero de Steam desde mi tarjeta de prepago y me salia que no tenia saldo suficiente algo imposible porque acababa de cargarla de pasta, después intente cargar 10€ pero tampoco, a los pocos segundos ya me llamo el banco que VALVe había avisado de un intento fraudulento con mi cuenta de usuario y tarjeta de prepago y que a ver si me la habían robado, explique lo sucedido y al final perdí dos semanas de discusiones entre VALVe y Banco, que se daban la culpa el uno al otro de que el tarjeta no tuviera saldo para realizar recarga al monedero de steam, al final fue culpa de VALVe que su sistema se traga dinero para verificar la tarjeta tiene fondos y es válida, pero tuve que esperar esas dos semanas para que al final lo mencionara VALVe y ni se disculparon sino que encima me soltaron que para la próxima ya lo se y que si vuelvo hacerlo me bloquearían la cuenta. Encima que fue su culpa y no avisan de su sistema de comprobación me amenazan con un ban. Desde entonces no he vuelto a compra en Steam, ya es el cuarto año que no compro nada.

Te voy a comentar una cosa, ese eurito que te cobran antes de que realicen el cargo de lo que estés comprando solo te lo cobran la primera vez que uses una nueva forma de pago, desde siempre, y por eso si usas una tarjeta recargable que no has usado antes en alguna tienda siempre es bueno recargar con 1-2 euros más de lo que tengas pensado gastar. Por supuesto, te lo acaban devolviendo. Y ya para terminar, Steam no es el único sitio que usan dicho método, ni de lejos, así que por todo ello, no entiendo que les eches la culpa a quien no la tiene.
Todo el CV que acaba de hacer este chico, no esta pagado¡¡¡¡
Muy buena noticia.

Digais lo que digais.. siempre puede haber alguien que se lucre con ello.. y el consumidor acabe pagando los platos.
Quizás no haya ocurrido, todavía, pero tiempo al tiempo.

Me gusta saber que Valve es una plataforma consolidada y con seguridad.
Me alegro por este "white" hacker, que se ha ganado unas pelas.

Salu2.
Aquí lo que yo saco en claro, es que a la hora de echar números por la piratería les salen millones en pérdidas; pero al calcular lo que han podido perder mientras se estaban generando claves, no han pasado de 20.000 pavos.

Soy muy mal pensado, pero apostaría a que de saber lo que le iban a dar, se hubiese callado. Bien por el chaval, mal por Valve.
Que tonto, las vendo por bulk (lotes) a los dark market y eso en unas semanas te lo haces fácil y sin riesgo que te pillen, pues las vías de comunicación con esas tiendas son invulnerables y más cobrando en BTC ,pero no, 20k le van a solucionar la vida empollones simpre igual .
Calderilla comparado con las perdidas que hubieran tenido.
Asi malamente van a incentivar a futuros hackers para que les avisen en vez de hacer negocio.
herzio escribió:Independientemente de que haya cobrado poco o mucho, el problema que se le presenta ahora es que todas las paginas que se lucraban de ese fallo (codigos baratos) van a querer su cabeza en bandeja de plata. Es el problema de la gente sensata, que encuentras muchos enemigos.


Sí si, van a mandar asesinos a sueldo, para que acaben con él.

En el GTA.
Compañía que gana millones y millones, que nada en dinero y le dan 20.000€ por benevolentemente destapar un exploit que podría haber costado infinidad más a la compañía, a parte de sembrar el caos, bajar la reputación de Valve y enfadar a los miles que hubiesen comprado juegos con esas claves a las cuales les rescindiesen el acceso. En fin le dan a ganas a uno de ser lo más cabrón que se pueda, siempre.
Muy poco. Tendría que haber negociado:
Imagen

De verdad que me parece irrisoria la cantidad ¬_¬
Y no generaba keys, lo que hacía era acceder al fichero de keys ya generadas. No desinforméis @Benzo [oki]
Bien por el hacker y bien por valve, me explico, bien por el hacker por avisarlo, a nadie que descubra un error en una pagina lo hace pensando en la compensacion que pueda recibir, de echo valve no tendria nada que pagarle, lo que le de bien dado esta, y bien por valve como digo por que no tendrian por que darle nada, con un gracias majete iria que chuta, que dan compensacion, pues mejor, ya sean 10k o 20k como 1$.

Que yo recuerde lei hace mucho ya, que sacaron como un concurso, una empresa ponia un ordenador conectado a internet, y el que lograra entrar y modificar algo, le daban 1 millon, creo... que nadie lo consigio.

El hacker honrrado lo hace por que asi se siente bien, el malo lo hace por la pasta, y a demas de aver vendido las claves y tal, se enfrentaria a la carcel lo mas seguro, yo en su caso aria lo mismo, prefiero la satisfaccion de averlo echo bien y esos 20k a acabar en la carcel.

O vosotros veis algun cartel por ejemplo de mascota perdida, y os fijais en si dan compensacion o no monetaria?
Ardillaman escribió:Es OBVIO que cogería la segunda opción, acaba de echar un curriculum top 1 en empresas que busquen aumentar la seguridad de sus servidores

Buen punto. No es la cantidad de dinero que pueda obtener de este evneto, es la oportunidad de negocio que le va a generar.
Poco me parecen esos 20000€.
A mí no me parece poco, si lo miramos todo bajo una cierta ética y valores, sin tener en cuenta solamente la magnitud del daño económico que podía causar.

Como diría el tio Ben, Quién tiene un poder tiene una gran responsabilidad. El hacker tan solo ha logrado acceder a un bug, pero no ha participado en absolutamente nada del desarrollo de esos juegos, ni en su programación, ni en su producción, ni en la publicidad y distribución. Él sólo ha descubierto un bug. Eso es cierto que le otorgaba un gran poder de negociación, pero también está supeditado a una decisión moral.

En vez de pensar que ha sido tonto al no pedir más, lo que veo es que su actitud honesta le ha permitido embolsarse ya 450000 pavos entre unas cosas y otras, poder mirarse en el espejo con orgullo y presumir de una gran honestidad.
61 respuestas
Archivado
1, 2
Volver a Juegos