LUN, 12 / NOV / 2018

Detectan fallo en seguridad en Steam que permitía descargar gratis cualquier juego

El defecto fue descubierto por casualidad y reportado a Valve. La compañía pago una recompensa y un extra por el secreto con el que se mantuvo el problema.

El investigador de seguridad Artem Moskowsky obtuvo una recompensa de USD 20 mil de parte de Valve. El motivo fue el descubrimiento de una falla  en la tienda de videojuegos online Steam que permitía bajar cualquier juego de forma gratuita.

El descubrimiento fue casual, el experto en seguridad lo encontró mientras navegaba por las sección de la tienda dedicada a los desarrolladores. En esa sección Steam tiene una opción que le permite a las empresas generar llaves (códigos de activación alfanuméricos) que pueden ser utilizados para otorgarle a un miembro de la prensa una copia. También se emplean como regalo para los consumidores en promociones y eventos.

Moskowsky descubrió que si iniciaba el proceso de generación y realizaba unos pocos cambios en el pedido hecho a los servidores, podía obtener claves para cualquier juego. “Pude traspasar la verificación de propiedad del juego cambiando solo un parámetro. Después de eso, podía ingresar cualquier ID en otro parámetro y obtener cualquier serie de llaves”, explicó.

En una de sus pruebas el experto utilizó una serie al azar para ver qué título obtenía. El resultado fue un total de 36 mil códigos de activación para el juego Portal 2. Portal 2 es un juego relativamente económico, cuesta apenas USD 9,99. Resulta claro que este mismo truco en otras manos podría haber resultado en la venta de copias a través del mercado negro o algún mercado gris (como G2A), y pérdidas enormes para las compañías afectadas.

Esta recompensa no es la más elevada que ha obtenido Moskowsky. En Julio de 2018 recibió USD 25 mil por el reporte de un defecto que detectó en un sistema de datos SQL.

¡Comparte esta noticia!