El investigador de seguridad Artem Moskowsky encontró el pasado verano
un fallo en Steam que permitía generar miles de claves gratuitas para
cualquier título disponible en la plataforma de distribución digital. En
ese momento Moskowsky se enfrentó a la difícil decisión de una vida de
juegos gratis o recibir una recompensa económica por parte de Valve.
Por fortuna de la compañía el investigador escogió la segunda opción y
se terminó embolsando 20.000 dólares, 5.000 de los cuales son un bonus
por guardar silencio.
Encontro un agujero de seguridad en Steam que le dió las claves de licencia de todos y cada unos de los juegos y todo lo que obtuve fue esto ... $ 20,000. El error ya fue parcheado hace semanas por Valve
El investigador Artem Moskowsky se topó con la vulnerabilidad, que le valió una recompensa de $ 20,000 por informar de ello, por accidente mientras revisaba el portal de socios de Steam. Ese es el sitio que los desarrolladores usan para administrar los juegos que están disponibles para descargar desde Steam.
Moskowsky, un cazador de bugs y pentester profesional, dijo que ha estado investigando sobre seguridad desde que estaba en la escuela, y durante los últimos años, ha hecho una carrera al encontrar y reportar fallos.
En este caso, mientras buscaba en el sitio de desarrolladores de Steam, notó que era bastante fácil cambiar los parámetros en una solicitud de API y obtener a cambio claves de activación para un juego seleccionado. Esas claves, también conocidas como claves de CD, se pueden usar para activar y jugar juegos descargados de Steam. La API se proporciona para que los desarrolladores y sus socios puedan obtener claves de licencia para que sus títulos se transfieran a los jugadores.
"Este error se descubrió al azar durante la exploración de la funcionalidad de una aplicación web", explicó Moskowsky. "Podría haber sido utilizado por cualquier atacante que tuviera acceso al portal".
Esencialmente, cualquier persona que tuviera una cuenta en el portal de desarrolladores podría acceder a las claves de activación del juego para cualquier otro juego alojado en Steam, y venderlas o distribuirlas a los piratas para usarlas en juegos de Steam. La obtención de / partnercdkeys / assignkeys / API con un recuento de clave cero devolvió una gran cantidad de claves de activación.
"Para explotar la vulnerabilidad, era necesario hacer una sola solicitud", dijo Moskowsky . "Logré omitir la verificación de la propiedad del juego cambiando solo un parámetro. Después de eso, pude ingresar cualquier ID en otro parámetro y obtener cualquier conjunto de claves".
¿Cómo de grave era el agujero? Moskowski dice que, en un caso, ingresó una cadena aleatoria en la solicitud, para elegir un título al azar y, a cambio, obtuvo 36,000 claves de activación para Portal 2, un juego que aún se vende por $ 9.99 en la tienda Steam.
Afortunadamente para Valve, Moskowsky optó por presentar la falla en privado a través de HackerOne. El error de programación ha sido arreglado desde entonces.
Como muestra la entrada de HackerOne para la vulnerabilidad, Moskowsky presentó por primera vez el informe sobre la falla a principios de agosto. Tres días después, Valve entregó la recompensa de $ 15,000, así como una bonificación de $ 5,000 por el hallazgo, aunque Valve solo permitió que el informe se hiciera público el 31 de octubre.
El investigador nos dijo que este es un cambio bastante bueno, y Valve, en particular, es muy bueno con el manejo de solicitudes de investigadores y el pago de recompensas por errores.
De manera impresionante, esta recompensa de $ 20,000 ni siquiera es el pago más grande que Moskowsky ha recibido del servicio de juegos. En julio, le dieron $ 25,000 para eliminar un error que permitía realizar un ataque a ciegas por inyección SQL en el mismo portal de desarrolladores. Ambos fallos fueron valorados como críticos.
Moskowsky informó del error el 7 de agosto de 2018 y Valve lo solucionó
hace unas semanas, pero no ha sido hasta ahora que la compañía ha
permitido que se haga público mediante Hackerone,
una plataforma que facilita el contacto entre hackers y el equipo de
seguridad de una empresa. De acuerdo con el breve resumen facilitado por
Valve, el error se aprovechaba de un fallo en Steamworks. Cambiando un
solo parámetro, cualquier persona con una cuenta de desarrollador podría
generar miles de claves de activación de cualquier juego disponible en
la tienda.
En declaraciones a The Register,
Moskowsky ha explicado que la vulnerabilidad encontrada en las
herramientas de desarrollo de Steam le permitió saltarse la verificación
de propiedad de un juego. Después solo tenía que poner la ID del título
que quisiera para conseguir tantas claves de activación como deseara.
Durante sus pesquisas el hacker logró hacerse con 36.000 claves de
Portal 2, juego desarrollado por Valve. La compañía ha confirmado que la
investigación llevada a cabo a raíz de este descubrimiento no encontró
ninguna evidencia que el error haya sido utilizado con mala intención.
Fuentes:
https://www.elotrolado.net/noticia_valve-paga-20-000-dolares-a-un-hacker-que-descubrio-un-error-que-generaba-codigos-de-juegos-en-steam_38624
https://www.theregister.co.uk/2018/11/09/valve_steam_key_vulnerability/
No hay comentarios:
Publicar un comentario