Valve pagó a un hacker u$s 20.000 por encontrar un error que generó claves de Steam gratuitas.
Valve le ha pagado a un pirata informático un total de u$s 20.000 por informar un error que permitió a cualquiera generar miles de claves de Steam de forma gratuita. El error ya no existe, obviamente.
Podrían preguntarse por qué alguien informaría de un error de este tipo: seguramente podrían ganar mucho dinero vendiendo esas llaves, pero cazar bugs de Steam e informarlos a Valve es lo que a Artem Moskowsky le gusta hacer. Se llama a sí mismo un «cazador de bugs» profesional y es muy bueno en lo que hace.
Como informa Kotaku, y tal como se presentó en el sitio de búsqueda de errores HackerOne, el error que Moskowsky encontró usó una vulnerabilidad en las herramientas de desarrollo de Steam. Parte de estas herramientas les permite a los creadores de juegos generar tantas claves de Steam para sus juegos como lo necesiten. Sin embargo, cualquiera que supiera del error y tuviera acceso a esas herramientas pudo generar miles de claves de Steam para cualquier juego.
Moskowsky explicó a The Register lo fácil que era hacerlo una vez que se descubrió el error.
Logré pasar por alto la verificación de la propiedad del juego cambiando solo un parámetro. Después de eso, podría ingresar cualquier ID en otro parámetro y obtener cualquier conjunto de claves.
Al hacer esto, Moskowsky pudo generar 36.000 claves de Steam para el Portal 2. En vez de explotar esto aún más, Moskowsky reportó el error a Valve en forma privada en agosto, quien lo investigó y lo solucionó rápidamente, solo haciendo pública la existencia del error en octubre 31.
Sorprendentemente, este no es el mayor pago para un error de Steam que Moskowsky ha tenido. En julio de este año recibió u$s 25.000 de Valve por informar un error de inyección de SQL. Tiene sentido que informaría el error de las llaves a Steam después de esto y obtendría el dinero en lugar de arriesgarse a ser demandado por Valve si continuaba explotándolo y el desarrollador lo descubria más tarde.