En agosto de 2018 un investigador de seguridad ucraniano llamado Artem Moskowsky descubrió un bug en Steamworks que es básicamente el sueño de cualquier gamer: un fallo en la plataforma que permitía obtener las CD keys de cualquier videojuego de Steam.
Moskowsky reportó el bug hace tres meses, el 7 de agosto para ser exactos. Cuatro días después Valve resolvió el problema y le pagó una recompensa de 20.000 dólares. Pero no fue hasta hace unos días que el fallo se hizo público.
Finally. https://t.co/uRUCfAPJro
— Artem (@mskwsky) 31 de octubre de 2018
Un problema en Steamworks
El bug afectaba a Steamworks, la API de Valve que ayuda a los desarrolladores a crear y publicar juegos o mods en su plataforma. Usando unos parámetros específicos en partner.steamgames.com/partnercdkeys/assignkeys/
un usuario autenticado podía descargar CD keys previamente generadas para un juego al que normalmente no tendrían acceso.
El investigador descubrió que si al momento de reclamar una clave de activación que no poseía cambiaba el parámetro de recuento de claves a "0", podía saltarse las limitaciones de la API. Es decir, cualquiera que siguiese los pasos descubiertos por Moskowsky podía activar cualquier videojuego de Steam sin haberlo comprado.
Durante sus pruebas y antes de notificar a Steam, el investigador fue capaz de generar y descargar más de 36.000 CD keys de Portal 2, y además se dio cuenta que un atacante podría revisar todos los identificadores de los juegos de Steam y descargar absolutamente todas sus claves de activación de forma gradual.
Por supuesto este bug fue calificado como un fallo de severidad crítica, pero Valve no ha hecho público si llegó a ser explotado antes de que Moskowsky lo reportara.
Vía | ZDNet
Ver 3 comentarios