Luego de que el investigador de seguridad Artem Moskowsky informara de un grave fallo de seguridad a Valve el pasado 7 de agosto, la compañía decidió recompensarlo con u$s 20.000.

Dicho bug permitía que cualquier usuario con una cuenta de acceso al portal de desarrolladores de Steam, pudiera generar miles de códigos gratuitos al mismo tiempo, y para cualquier juego, cambiando tan solo un solo parámetro. Valve corrigió el error hace algunas semanas, y el hallazgo luego fue hecho público a través del sitio HackerOne.

En una entrevista con The Register, Moskowsky comentó que encontró el bug casualmente mientras exploraba la funcionalidad de una aplicación web.

“Para explotar la vulnerabilidad, era necesario hacer un solo request. Logré hacer un bypass a la verificación de propiedad de un juego después de cambiar un solo parámetro. Luego, pude introducir cualquier ID en otro parámetro para conseguir un número específico de códigos”.

Para probar la vulnerabilidad, Moskowsky introdujo un string de números aleatorios como una llamado para recibir 36.000 de Portal 2. En vez de anunciar dicha falla públicamente, envió el reporte a Valve, y luego fue retribuido gracias al sistema de cazarrecompensas de la compañía. Moskowsky recibió u$s 15.000 por haber encontrado el bug, y luego otros u$s 5.000 por haber enviado el hallazgo en forma privada.

Esta ni es la primera vez que Moskowsky ha encontrado un bug de Steam, ni tampoco es la suma más grande que ha obtenido cono recompensa. En julio de este año, había recibido u$s 25.000 por descubrir bug de inyección SQL, encontrado también en el portal de Steam.