Según informó hoy Eurogamer, un investigador de seguridad de Hackerone envió recientemente un exploit que podría usarse en Steam para obtener fondos ilimitados en las carteras de usuarios. Desde entonces, Valve ha parcheado el exploit y la compañía le otorgó -unos miseros- u$s 7500 al usuario como premio por haber descubierto la vulnerabilidad.

Para aquellos que no estén al tanto, Hackerone es un sitio que conecta a empresas como Valve con usuarios a los que les gusta piratear y buscar vulnerabilidades en sitios web, aplicaciones y otros de software. Estas personas pueden enviar sus hallazgos de exploits y hacks a empresas de forma privada y, a cambio, estas premian a los hackers por sus descubrimientos. Es un sistema que tiene un historial de ayudar a corregir exploits que podrían causar un daño enorme antes de que se hagan públicos.

El 9 de agosto, el usuario de Hackerone Drbrix alertó en privado a Valve sobre un exploit de Steam Wallet que implicaba cambiar su dirección de correo electrónico e interceptar transacciones que utilizan cualquier método de pago Smart2Pay. Puede leer sobre el método completo de ataque y cómo funciona a través del informe de Hackerone, que se hizo público el 10 de agosto y fue descubierto por The Daily Swig y NME unos días después.

“Creo que el impacto es bastante obvio, el atacante puede generar dinero y romper el mercado de Steam, vender claves de juegos por poco dinero, etc.”, publicó Drbrix en su informe de Hackerone.

Como era de esperar, Valve respondió rápidamente a la publicación de Drbrix. Un empleado de Valve en el sitio llamado JonP agradeció a Drbrix por su hallazgo y explicó que Valve había validado rápidamente lo que informaron y estaba tomando medidas para solucionar el problema. Un mensaje de seguimiento de JonP explicó que el informe estaba “claramente redactado” y “útil para identificar un riesgo empresarial real”.

Luego, Valve le pagó a Drbrix u$s 7500, lo cual es un buen gesto, pero podrían haber sido un poco más generosos considerando el gran daño que podría haberle hecho a la empresa. Si este exploit se hubiera hecho público o se hubiera compartido con algunos grupos pequeños de personas, podría haberle costado a Valve muchísimo. Comparando con los 100.000 dólares que Riot ofreció a la gente por encontrar exploits de Valorant, la compañía de Gabe Newell podría haber sido un poco más agradecida y recompensar mejor a los hackers que encuentran exploits de esta índole.

Después de que el exploit se corrigió, Valve y Drbrix hicieron público el informe completo. No se sabe cuántos usuarios o hackers utilizaron el exploit antes de que Valve fuera notificado y lo parcheara, pero seguramente fueron unos pocos.