Sun. Jun 26th, 2022

Si descubres un error que te mostró las claves de los juegos que no te pertenecen, ¿qué harías? ¿Te cederías a los impulsos más oscuros y los acumularías para ti mismo? ¿O ir más allá y vender la información al mejor postor? ¿O decirle a la empresa a cargo que tienen una vulnerabilidad masiva? En el caso de Artem Moskowsky, eligió la última opción, y fue recompensado bastante bien por ello.

Al probar una aplicación web en el sitio de desarrolladores de Steam, Moskowsky descubrió que surgió un error en más de 30,000 claves de Portal 2, un juego en el que no tenía ninguna participación. Tiene sentido que un desarrollador pueda generar sus propias claves en Steam, pero a pesar de no ser Valve, Moskowsky pudo ver varias claves para el último gran juego para un solo jugador de Valve.

Tras una inspección más cercana, descubrió que los códigos que se le mostraban no eran nuevos, sino que ya eran códigos generados previamente. Es posible que alguien haya usado un código determinado o puede que no lo haya hecho, pero definitivamente fue información que se suponía que no debía tener y el error parecía ser reproducible.

Moskowsky reportó el error a Valve y explicó exactamente cómo lo hizo.

"Al usar / partnercdkeys / assignkeys / endpoint en partner.steamgames.com con parámetros específicos, un usuario autenticado podría descargar las claves de CD generadas previamente para un juego al que normalmente no tendrían acceso", escribió usando las herramientas de informe de vulnerabilidad oficiales de Valve.

Unos días después, Valve se puso en contacto con Moskowsky y le otorgó un premio de $ 20,000 por encontrar la vulnerabilidad. Valve utiliza recompensas en efectivo a través de una iniciativa de HackerOne para alentar a las personas que encuentran grietas en el sello a informarles en lugar de difundir la información en partes menos escrupulosas de Internet. Moskowsky lo sabía bastante bien: había recibido $ 25,000 a través de la misma iniciativa un mes antes.

[Source: The Register via Eurogamer]

By Sebastian Jimenez

Si hubiera una ciencia basada en el código binario, sería su principal devoto. Dame juegos y circuitos y me harás feliz. Residiendo en Sevilla.