Un investigador de seguridad conocido bajo el alias de Drbrix encontró un fallo de seguridad en Steam que permitía añadir fondos ilimitados a la cartera de la tienda digital. El fallo fue reportado a Valve mediante la plataforma Hackerone el 9 de agosto y un día después la compañía lo consiguió replicar y solucionar. El investigador consideró que se trataba de un fallo de gravedad moderada, pero Valve lo elevó a crítico y lo recompensó con 7.500 dólares.

Las billeteras en Steam son utilizadas para comprar suscripciones a juegos dentro de la tienda oficial, así como otros contenidos y productos relacionados. Y si bien de acuerdo con los términos y condiciones de Steam los fondos dentro de las billeteras no son transferibles y tampoco pueden retirarse para pasarlo a dinero real, hay quienes han encontrado la manera de poder retirar el dinero de sus billeteras; por ejemplo, comprando otros productos que luego venden en otras plataformas a cambio de dinero.

En el registro de Hackerone que ahora ha quedado descubierto, Drbrix explica cómo el fallo de seguridad permitía a un atacante convertir un depósito de 1 euro en la Steam Wallet en uno de 100 euros, el máximo por transacción. Para hacerlo se tenía que cambiar el correo electrónico de Steam por uno nuevo que incluyese “amount100” y añadir fondos mediante la plataforma Smart2Pay, para posteriormente interceptar el mensaje de la API y editarla con la cantidad deseada. De esta forma se podría añadir 1 euro a la cartera y recibir 100.

“Creo que el impacto [del falló de seguridad] es obvio, el atacante puede generar dinero y romper el mercado de Steam, vender claves a bajo precio…”, dice Drbrix en su informe. Por su parte, Valve respondió mediante JonP, que además de agradecer el aviso del hacker le informó que la compañía ya estaba trabajando en tomar medidas para atajar el problema. Después de aplicar la solución Drbrix comprueba que no puede ejecutar de nuevo el exploit.

Posteriormente, el mismo empleado de Valve le indica al hacker que el informe estaba claramente redactado y que fue útil para identificar un riesgo real para el negocio, motivo por el cual eleva de moderada a crítica la severidad del fallo de seguridad. Esto significa que la recompensa pasa de 750 a 7.500 dólares. Las cantidades de dinero que Valve (o cualquier otra compañía) paga por fallos de seguridad mediante Hackerone está preestablecida, pero siempre puede abonar más dinero del previsto si así lo considera oportuno.

En 2018 Valve decidió abonar 20.000 dólares a un hacker que usó Hackerone para informar a la compañía sobre un fallo de seguridad que permitía generar códigos de juegos en Steam. En esa ocasión el exploit estaba en Steamworks y con un solo cambio en un parámetro cualquier persona con una cuenta de desarrollador podría generar miles de claves de activación de cualquier título disponible en la tienda digital. Valve ha pagado un total de 1.505.550 dólares por fallos de seguridad reportados mediante Hackerone.

El usuario/atacante podía interceptar las solicitudes POST entre Valve y Smart2Play al evadir el hash criptográfico para la protección de las transacciones, explicó Threatpost. Para hacer esto, el pago debe realizarse seleccionando cualquier alternativa que utilice el método de pago Smart2Play, que es una plataforma de pago tercera con la que se comunica el API de Steam para realizar el proceso.

En lo que refiere a la evasión del hash, “si bien no es posible modificar los parámetros al existir un campo Hash firmado; la firma es generada como ese mismo hash (ALL_FIELDS_NAMES_VALUES_CONTACTED)”, explica drbrix. Por lo tanto, “con la dirección de correo especial es posible mover parámetros de forma tal que se modifique el monto que se cargará en la billetera” agregó.

Fuente:

https://www.elotrolado.net/noticias/juegos/steam-seguridad-fondos-cartera