Noticias

Valve pagó 20.000 dólares de recompensa a un hacker de su propio sistema

La empresa apela a los “hackers éticos” para encontrar fallas en Steam

Por:

Hace meses Valve extendió la mano a un grupo de hackers nucleados en el portal HackerOne, prometiendo jugosas recompensas para aquellos que reportasen errores en su sistema. En particular aquellos que en las manos equivocadas pudieran generar verdaderos problemas.

Es iniciativa dio verdaderos frutos en agosto (pero se hizo público recién esta semana), cuando se conoció que Artem Moskowsky, uno de los integrantes de ese grupo de “hackers éticos”, encontró una falla que permitía al usuario crear infinitos códigos para canjear por juegos en la plataforma Steam.

De acuerdo al informe de Valve en el sitio HackerOne, el error permitía hacer uso de algunas de las herramientas disponibles para los desarrolladores, las cuales, utilizando parámetros específicos, podían generar códigos para juegos de otras empresas.

Considerando la gran cantidad de sitios disponibles en los que es posible comercializar códigos de Steam de origen turbio, y lo sencillo que es el proceso para convertirse en un desarrollador en la plataforma (y con ello acceder a esas herramientas), el hallazgo de Moskowsky le salvó la vida a más de uno y evitó un potencial conflicto millonario para Valve.

El hacker explica que el proceso para explotar la vulnerabilidad era extremadamente sencillo y que con la modificación de solo un parámetro podía obtener la cantidad de códigos que quisiese. En un caso, le dijo al portal The Register, ingresó una secuencia al azar y recibió 36 mil códigos de activación de Portal 2, un juego que actualmente se consigue a 10 dólares en la plataforma.

Por supuesto Moskowsky no vive de la buena voluntad y los agradecimientos, por lo que Valve lo recompensó con 20 mil dólares (que suena a poco considerando los cientos de miles de dólares que un hacker menos ético podría haber conseguido en caso de descubrir el error antes).

No es la primera vez que un hacker encuentra una vulnerabilidad en Valve, pero sí la primera de esta magnitud. De hecho el portal HackerOne mantiene un registro de todos los reportes a la empresa y los pagos que se han hecho (que varían dependiendo de la gravedad del error), que ascienden a 109 mil dólares hasta el momento. 

Comentarios