El investigador de seguridad Artem Moskowsky encontró el pasado verano un fallo en Steam que permitía generar miles de claves gratuitas para cualquier título disponible en la plataforma de distribución digital. En ese momento Moskowsky se enfrentó a la difícil decisión de una vida de juegos gratis o recibir una recompensa económica por parte de Valve. Para fortuna de la compañía el investigador escogió la segunda opción y se terminó embolsando 20.000 dólares, 5.000 de los cuales son un bonus por guardar silencio.
Moskowsky informó del error el 7 de agosto de 2018 y Valve lo solucionó hace unas semanas, pero no ha sido hasta ahora que la compañía ha permitido que se haga público mediante Hackerone, una plataforma que facilita el contacto entre hackers y el equipo de seguridad de una empresa. De acuerdo con el breve resumen facilitado por Valve, el error se aprovechaba de un fallo en Steamworks. Cambiando un solo parámetro, cualquier persona con una cuenta de desarrollador podría generar miles de claves de activación de cualquier juego disponible en la tienda.
En declaraciones a The Register, Moskowsky ha explicado que la vulnerabilidad encontrada en las herramientas de desarrollo de Steam le permitió saltarse la verificación de propiedad de un juego. Después solo tenía que poner la ID del título que quisiera para conseguir tantas claves de activación como deseara. Durante sus pesquisas el hacker logró hacerse con 36.000 claves de Portal 2, juego desarrollado por Valve. La compañía ha confirmado que la investigación llevada a cabo a raíz de este descubrimiento no encontró ninguna evidencia que el error haya sido utilizado con mala intención.
No es la primera vez que Moskowsky cobra por haber cazado un bug en Steam. Hace unos meses Valve le pagó 25.000 dólares por descubrir un error que permitía realizar un ataque a ciegas por inyección SQL. Ambos fallos fueron valorados como críticos.
