Hasta hace una semana, un error de seguridad en Steam permitía añadir fondos infinitos a la cartera de la tienda digital "gratuitamente". El bug, que potencialmente habría causado pérdidas cuantiosas, fue encontrado por el usuario de Hackerone "drbrix". Valve, propietaria de la tienda digital, ha pagado 7.500 dólares al hacker por informar del descubrimiento.
Como cuentan desde Kotaku, Hackerone es una página web en la hackers a los que les gusta trastear con software, aplicaciones y páginas web pueden contactar directamente con las compañías registradas en el portal para informar de fallos de seguridad de manera privada. Las empresas pueden recompensar a los usuarios con pagos.
Eso fue lo que ocurrió el 9 de agosto con Valve y "drbrix". El hacker se percató de que al utilizar un método de pago Smart2Pay para añadir fondos a la Cartera de Steam, se podía cambiar la cifra de dinero que se añadiría a Steam Wallet sin afectar a la cantidad cobrada, utilizando un método relativamente simple que implicaba cambiar la dirección de email de la cuenta de Steam y modificar el código de la pasarela de pago.
"Creo que el impacto es bastante obvio", escribió el hacker al informar a Valve del error, "un atacante puede generar dinero y romper el mercado de Steam, vender claves de juegos baratas, etcétera". "Gracias por este aviso", respondió el 10 de agosto "jonp", un empleado de Valve en Hackerone. "Estaba escrito claramente y ayudó a identificar un riesgo real en el negocio [...] Esperamos saber más de ti en el futuro".
Sony, Nintendo y Riot Games han participado en programas similares
El pago de 7500 dólares parece que entra dentro de los estándares de las compañías de videojuegos presentes en Hackerone. En 2017, Nintendo lanzó en la plataforma un programa para descubrir fallos de seguridad en Switch, pagando por los reportes entre 100 y 20.000 dólares. Sony lanzó el PlayStation Bug Bounty para descubrir fallos en PS4 y PSN, pagando entre 100 y 50.000 dólares. Riot Games pagó hasta 100.000 dólares a quienes descubrieran fallos de seguridad en Vanguard, el sistema antitrampas de Valorant.