Un investigador de seguridad conocido bajo el alias de Drbrix encontró un fallo de seguridad en Steam que permitía añadir fondos ilimitados a la cartera de la tienda digital. El exploit fue reportado a Valve mediante la plataforma Hackerone el 9 de agosto y un día después la compañía lo consiguió replicar y solucionar. El hacker consideró que se trataba de un fallo de gravedad moderada, pero Valve lo elevó a crítico y lo recompensó con 7.500 dólares.
En el registro de Hackerone que ahora ha quedado descubierto, Drbrix explica cómo el fallo de seguridad permitía a un atacante convertir un depósito de 1 euro en la Steam Wallet en uno de 100 euros, el máximo por transacción. Para hacerlo se tenía que cambiar el correo electrónico de Steam por uno nuevo que incluyese “amount100” y añadir fondos mediante la plataforma Smart2Pay, para posteriormente interceptar el mensaje de la API y editarla con la cantidad deseada. De esta forma se podría añadir 1 euro a la cartera y recibir 100.
“Creo que el impacto [del falló de seguridad] es obvio, el atacante puede generar dinero y romper el mercado de Steam, vender claves a bajo precio…”, dice Drbrix en su informe. Por su parte, Valve respondió mediante JonP, que además de agradecer el aviso del hacker le informó que la compañía ya estaba trabajando en tomar medidas para atajar el problema. Después de aplicar la solución Drbrix comprueba que no puede ejecutar de nuevo el exploit.
Posteriormente, el mismo empleado de Valve le indica al hacker que el informe estaba claramente redactado y que fue útil para identificar un riesgo real para el negocio, motivo por el cual eleva de moderada a crítica la severidad del fallo de seguridad. Esto significa que la recompensa pasa de 750 a 7.500 dólares. Las cantidades de dinero que Valve (o cualquier otra compañía) paga por fallos de seguridad mediante Hackerone está preestablecida, pero siempre puede abonar más dinero del previsto si así lo considera oportuno.
En 2018 Valve decidió abonar 20.000 dólares a un hacker que usó Hackerone para informar a la compañía sobre un fallo de seguridad que permitía generar códigos de juegos en Steam. En esa ocasión el exploit estaba en Steamworks y con un solo cambio en un parámetro cualquier persona con una cuenta de desarrollador podría generar miles de claves de activación de cualquier título disponible en la tienda digital. Valve ha pagado un total de 1.505.550 dólares por fallos de seguridad reportados mediante Hackerone.
