Con la ayuda de un investigador de seguridad, Valve ha encontrado y solucionado un exploit que habría permitido a un usuario falsificar el valor de los depósitos en su billetera de Steam. El exploit implicaba cambiar su dirección de correo electrónico e interceptar transacciones que utilizan cualquier método de pago Smart2Pay.
El atacante podía poner fondos ilimitados en la cuenta
Drbrix encontró el problema por medio del sitio Hackerone, que conecta a empresas como Valve con usuarios a los que les gusta piratear y buscar vulnerabilidades en sitios web, aplicaciones y otros de software. Estas personas pueden enviar sus hallazgos de exploits y hacks a empresas de forma privada y, a cambio, estas premian a los hackers por sus descubrimientos. Es un sistema que tiene un historial de ayudar a corregir exploits que podrían causar un daño enorme antes de que se hagan públicos.
Drbrix publicó por primera vez el error como prioridad «media», diciendo “Creo que el impacto es bastante obvio, los atacantes pueden generar dinero y romper el mercado de Steam, así como vender claves más baratas, etc”.
Valve, después de probar el exploit e intentar una solución, le pago unos $ 7,500 USD «Esto refleja el costo potencial para la empresa».
En declaraciones Valve dijo “Gracias a la persona que nos avisó del bug hemos podido trabajar junto con el proveedor de pagos para resolver los problemas sin ninguna repercusión para los consumidores”