Valve corrige fallo que permite agregar fondos ilimitados en billeteras de Steam

Valve corrigió fallo catalogado como crítico que permitía a jugadores de la plataforma Steam añadir fondos de manera ilimitada y pagó una recompensa de $7500 al investigador que lo reportó.

Valve corrigió fallo catalogado como crítico que permitía a jugadores de la plataforma Steam añadir fondos de manera ilimitada y pagó una recompensa de $7500 al investigador que lo reportó.

El pasado 9 de agosto un investigador apodado drbrix reportó a través de HackerOne, la popular plataforma de bug bounty, el hallazgo de una vulnerabilidad que permitía a un usuario alterar el balance de su billetera en Steam. Luego de reportar el fallo, Valve lo corrigió y pagó $7500 por reportarlo.

Las billeteras en Steam son utilizadas para comprar suscripciones a juegos dentro de la tienda oficial, así como otros contenidos y productos relacionados. Y si bien de acuerdo con los términos y condiciones de Steam los fondos dentro de las billeteras no son transferibles y tampoco pueden retirarse para pasarlo a dinero real, hay quienes han encontrado la manera de poder retirar el dinero de sus billeteras; por ejemplo, comprando otros productos que luego venden en otras plataformas a cambio de dinero.

Retomando el tema del fallo, según explicó drbrix, para poder abusar del error lo primero que se debe hacer es modificar la dirección de correo de la cuenta de Steam a una dirección que incluya el término “amount100”. Por ejemplo, “brixamount100abc@xxx.xxx”, explicó el investigador. Al hacer esto, el usuario/atacante puede interceptar las solicitudes POST entre Valve y Smart2Play al evadir el hash criptográfico para la protección de las transacciones, explicó Threatpost. Para hacer esto, el pago debe realizarse seleccionando cualquier alternativa que utilice el método de pago Smart2Play, que es una plataforma de pago tercera con la que se comunica el API de Steam para realizar el proceso.

En lo que refiere a la evasión del hash, “si bien no es posible modificar los parámetros al existir un campo Hash firmado; la firma es generada como ese mismo hash (ALL_FIELDS_NAMES_VALUES_CONTACTED)”, explica drbrix. Por lo tanto, “con la dirección de correo especial es posible mover parámetros de forma tal que se modifique el monto que se cargará en la billetera” agregó.

Desde el lado de Valve agradecieron al investigador por reportar el fallo y clasificaron la vulnerabilidad como crítica debido al potencial impacto que podía significar para el negocio, explicó la compañía.

Newsletter

Discusión