Valve solucionó un fallo de seguridad que permitía añadir fondos ilimitados a la Cartera de Steam

Un investigador de seguridad conocido bajo el alias de Drbrix encontró un fallo de seguridad en Steam que permitía añadir fondos ilimitados a la cartera de la tienda digital. El exploit fue reportado a Valve mediante la plataforma Hackerone el 9 de agosto y un día después la compañía lo consiguió replicar y solucionar. El hacker consideró que se trataba de un fallo de gravedad moderada, pero Valve lo elevó a crítico y lo recompensó con 7.500 dólares.

En el registro de Hackerone que ahora ha quedado descubierto, Drbrix explica cómo el fallo de seguridad permitía a un atacante convertir un depósito de 1 euro en la Steam Wallet en uno de 100 euros, el máximo por transacción. Para hacerlo se tenía que cambiar el correo electrónico de Steam por uno nuevo que incluyese “amount100” y añadir fondos mediante la plataforma Smart2Pay, para posteriormente interceptar el mensaje de la API y editarla con la cantidad deseada. De esta forma se podría añadir 1 euro a la cartera y recibir 100.

“Creo que el impacto [del falló de seguridad] es obvio, el atacante puede generar dinero y romper el mercado de Steam, vender claves a bajo precio…”, dice Drbrix en su informe. Por su parte, Valve respondió mediante JonP, que además de agradecer el aviso del hacker le informó que la compañía ya estaba trabajando en tomar medidas para atajar el problema. Después de aplicar la solución Drbrix comprueba que no puede ejecutar de nuevo el exploit.

Posteriormente, el mismo empleado de Valve le indica al hacker que el informe estaba claramente redactado y que fue útil para identificar un riesgo real para el negocio, motivo por el cual eleva de moderada a crítica la severidad del fallo de seguridad. Esto significa que la recompensa pasa de 750 a 7.500 dólares. Las cantidades de dinero que Valve (o cualquier otra compañía) paga por fallos de seguridad mediante Hackerone está preestablecida, pero siempre puede abonar más dinero del previsto si así lo considera oportuno.

En 2018 Valve decidió abonar 20.000 dólares a un hacker que usó Hackerone para informar a la compañía sobre un fallo de seguridad que permitía generar códigos de juegos en Steam. En esa ocasión el exploit estaba en Steamworks y con un solo cambio en un parámetro cualquier persona con una cuenta de desarrollador podría generar miles de claves de activación de cualquier título disponible en la tienda digital. Valve ha pagado un total de 1.505.550 dólares por fallos de seguridad reportados mediante Hackerone.

Fuente: Kotaku
7.500 dólares por un exploit que permite multiplicar por 100 el dinero?
La honestidad está pagada como el culo.

Un saludo,
7.500$ por encontrar un error que podría haber costado una millonada a Valve (te pones una cantidad increíble de dinero, compras los items mas caros en el mercadillo, y luego los revendes en páginas externas).

Menos es nada, pero joder, ese dinero lo consiguen cuando sale un triple A nuevo en diez minutos...
No conocía esa web, peor me parece una plataforma con una idea fantástica.
La verdad es que la recompensa de Valve me parece irrisoria con respecto al daño que potencialmente podría haberles causado de haber sido descubierto por otras personas que se hubieran dedicado a explotarlo [+risas]
7500€ por un fallo que les podría haber costado millones.

El chiste se cuenta solo [qmparto]
Sale más rentable vender el método de multiplicar el saldo.
$7.500 ...



Como bien indica el compañero de arriba, le salía más rentable hacer negocio con el exploit (porque imagino que él era de los pocos si no el único que lo conocía) y vender claves a mansalva que aceptar esos 7.500 de Valve.
Vaya puta mierda de negocio es la honestidad en el mundo real.
Recordad que el pedía menos y fue Valve quien subió la recompensa y ni mucho menos habría costado millones, le habría costado a Valve mala publicidad pero no millones puesto que en cuanto se hubiese empezado a usar Valve lo habría notado y anulado ese saldo (cabreando a los que lo compraran) pero no hubiera perdido ese dinero.

Saludos
Llegué tarde.

Total, que le paguen mil millones de dólares... que igual salía más a cuenta...
O sea, le ha pagado de recompensa lo que gana Steam en segundos por algo que le ha hecho proteger a Steam millones de dólares, okok.

PD: Y conociendo a Steam fijo que se lo ingresaron en la wallet Steam.
Sale barato ser honesto [sonrisa]
podian al menos darle fondos ilimitados(en steam) al muchacho XD
En mi trabajo le solvento problemas al banco que le costaría una millonada casi a diario... según algunos, me tendrían que estar pagando la millonada a mi :-|

Me daba yo con un canto en los dientes por que me diesen 7500 euros cada vez que tapo un agujero, hace mucho que me habría retirado.
@Nagaroth Pues sí, lo mismo deberías buscar otro sitio que te valore realmente.
RumbelBoss escribió:Como bien indica el compañero de arriba, le salía más rentable hacer negocio con el exploit (porque imagino que él era de los pocos si no el único que lo conocía) y vender claves a mansalva que aceptar esos 7.500 de Valve.
Vaya puta mierda de negocio es la honestidad en el mundo real.


Eso suena muy bien hasta que te pillan y das con tus huesos en la cárcel.
@weirdzod Menuda chorrada, si le pagan un salario digno y tiene unas condiciones de trabajo dignas es un trabajo como otro cualquiera. O acaso a un policía local que impide por ejemplo una agresión habría que pagarle más que al que pone una multa a un coche aparcado encima de la acera? Es su trabajo y para eso le pagan
Menuda M de recompensa. Es fomentar que esta gente se dedique a otra cosa.
He encontrado un fallo de seguridad. Si alguien les llegase a reventar los servidores con un bate de beisbol podrían estar offline varios días.

¿Dónde puedo reclamar mi cheque de 7500$?
Estoy de acuerdo en que la recompensa podría ser mayor, pero algunos de los comentarios que dicen lo mismo sueltan un tufo a jeiterino...
Lo increíble es que no vendiera el método ni lo usara increíble.
Flipo con los comentarios... Alegremente soltando que robar es más rentable que ser honesto.
Nagaroth escribió:En mi trabajo le solvento problemas al banco que le costaría una millonada casi a diario... según algunos, me tendrían que estar pagando la millonada a mi :-|

Me daba yo con un canto en los dientes por que me diesen 7500 euros cada vez que tapo un agujero, hace mucho que me habría retirado.


La sutil diferencia es que a ti te han contratado para ello; a él no. A menos que la noticia esté mal redactada y el susodicho sí trabaje para Valve y le estén pagando un sueldo por ello, en cuyo caso ese dinero tendría realmente más valor.
El que es honesto por decir la verdad está mal visto? es mejor mentir fingiendo que son Teresa de Calcuta para quedar como santos ante la peña, los mismos que luego miras en su historial y son los amos del "backups"🤦‍♂️🤦‍♂️🤦‍♂️.

Pd: como dije en un post similar hace unos meses yo dure un año y pico usando un método en Amazon que descubrí por error y con mi propia cuenta, dure bastante usándolo sin abusar de el, no me pasó por la cabeza venderlo y lo usaba en momentos puntuales, un día dejo de funcionar y nunca esa gente me han contactado, ni reclamado nada, que se dieron cuenta por mí y solucionaron bien, (ganamos ambos) que alguien de su equipo de seguridad encontró el falló y lo tapo, pues ese si tiene el deber de hacerlo y dar parte de ello por qué para eso le pagan.
Sockles escribió:
Nagaroth escribió:En mi trabajo le solvento problemas al banco que le costaría una millonada casi a diario... según algunos, me tendrían que estar pagando la millonada a mi :-|

Me daba yo con un canto en los dientes por que me diesen 7500 euros cada vez que tapo un agujero, hace mucho que me habría retirado.


La sutil diferencia es que a ti te han contratado para ello; a él no. A menos que la noticia esté mal redactada y el susodicho sí trabaje para Valve y le estén pagando un sueldo por ello, en cuyo caso ese dinero tendría realmente más valor.


El trabajo es el mismo y nadie le ha obligado a hacerlo. 7500 es más que justa recompensa por el tiempo dedicado, y prueba de ello es que el propio investigador estimó que valía la décima parte de esa cantidad.
Nagaroth escribió:En mi trabajo le solvento problemas al banco que le costaría una millonada casi a diario... según algunos, me tendrían que estar pagando la millonada a mi :-|

Me daba yo con un canto en los dientes por que me diesen 7500 euros cada vez que tapo un agujero, hace mucho que me habría retirado.


Sockles escribió:
Nagaroth escribió:En mi trabajo le solvento problemas al banco que le costaría una millonada casi a diario... según algunos, me tendrían que estar pagando la millonada a mi :-|

Me daba yo con un canto en los dientes por que me diesen 7500 euros cada vez que tapo un agujero, hace mucho que me habría retirado.


La sutil diferencia es que a ti te han contratado para ello; a él no. A menos que la noticia esté mal redactada y el susodicho sí trabaje para Valve y le estén pagando un sueldo por ello, en cuyo caso ese dinero tendría realmente más valor.


Es increible lo adictos que somos a quejarnos por tantas cosas en la vida incluso si no tiene nada que nuestra vida, o nuestro momento presente. Que satisfaccion nos da quejarnos de tantas cosas? No es curioso? Quizas lo hagamos porque todo el mundo lo hace, y nos gusta copiar a los demas desde que nacimos. A veces copiamos sin darnos cuenta incluso.
¿En serio os habéis quedao con los 7.500 de la noticia? xD Yo me quedao flipao en pensar como ha podído saber el tal Drbrix el método para hacer el hackeo...

Benzo escribió:En el registro de Hackerone que ahora ha quedado descubierto, Drbrix explica cómo el fallo de seguridad permitía a un atacante convertir un depósito de 1 euro en la Steam Wallet en uno de 100 euros, el máximo por transacción. Para hacerlo se tenía que cambiar el correo electrónico de Steam por uno nuevo que incluyese “amount100” y añadir fondos mediante la plataforma Smart2Pay, para posteriormente interceptar el mensaje de la API y editarla con la cantidad deseada. De esta forma se podría añadir 1 euro a la cartera y recibir 100.
Nagaroth escribió:El trabajo es el mismo y nadie le ha obligado a hacerlo. 7500 es más que justa recompensa por el tiempo dedicado, y prueba de ello es que el propio investigador estimó que valía la décima parte de esa cantidad.


Bueno, discrepamos en el fondo de la cuestión. Yo, personalmente no lo veo así.
Saludos.
30 respuestas