VALVE RECOMPENSA A USUARIO POR ENCONTRAR UN BUG PARA OBTENER JUEGOS GRATIS

Artem Moskowsky es un investigador de seguridad que ha hecho una carrera en base a encontrar explotaciones en el código de diversas páginas, por ejemplo, si una página web se dedica a distribuir algún producto digital dígase musica, peliculas o juegos, personas como Artem se encargan de hacer que a un pirata no le sea tan sencillo robar de la dichosa pagina al encontrar y reportar fallas, y en este caso encontró una falla que gustosamente reportó con Valve y por la cual fue jugosamente recompensado.

De acuerdo con The Register, Artem Moskowsky no tuvo que hacer nada extraordinario para encontrar el exploit, simplemente entró en el portal de Steam para desarrolladores (siendo este el lugar donde los desarrolladores de juegos obtienen las llaves de sus títulos para distribuir), y ahí encontró un parámetro que al cambiarlo podía darle potencialmente llaves ilimitadas para cualquier juego:

Para explotar la vulnerabilidad fue necesario hacer solo una petición. Logré derivar la verificación de propietario del juego cambiando sólo un parámetro. Después de eso, podía introducir cualquier ID con otro parámetro para obtener cualquier cantidad de llaves.

Si nos ponemos a pensar en ello, cualquiera que tuviera acceso a la plataforma (lo cual no es muy difícil) y hubiera identificado este parámetro potencialmente podría obtener una cantidad ilimitada de llaves de cualquier juego, incluyendo nuevos lanzamientos, estas llaves se venden particularmente bien en sitios de venta alternativos a Steam por un muy buen dinero.

Para que se den una idea de la gravedad del exploit, Artem Moskowsky en un punto mencionó que hizo la prueba con un ID al azar, y logró generar 36,000 llaves de Portal 2. El juego actualmente está a 10 dolares en Steam, por lo que estamos hablando de que a un distribuidor de llaves le hubiera generado una ganancia potencial de $360,000 dólares, ahora imaginense con un juego de 60 dólares o ediciones de lujo de 100 dólares. Yikes.

Afortunadamente, Artem Moskowsky decidió tomar el camino del bien y reportar el exploit a Valve mediante hackerone en agosto. Valve unos días después le dio una recompensa de 15,000 dólares junto con un bonus de 5,000 dólares por el hallazgo, aunque Valve sólo permitió que se reportara este incidente de manera pública hasta el 31 de octubre, después de que ya todo estuviera parchado.

Así que ya saben amigos, un gran poder conlleva a una gran responsabilidad, y en este caso Valve tuvo mucha suerte de que este exploit fuera encontrado por alguien dispuesto a hacer lo correcto y reportarlo directamente, en lugar de tomar todas las copias que quisiera y venderlas a los distribuidores digitales, y claro, tampoco está mal llevarse una jugosa recompensa de paso.

¿Tú qué hubieras hecho si pudieras tener juegos ilimitados? ¡Cuéntanos en las redes sociales!