Steam tenía un bug con el que podías haber tenido acceso a todas las claves de activación de cualquier videojuego

Steam tenía un bug con el que podías haber tenido acceso a todas las claves de activación de cualquier videojuego
3 comentarios Facebook Twitter Flipboard E-mail

En agosto de 2018 un investigador de seguridad ucraniano llamado Artem Moskowsky descubrió un bug en Steamworks que es básicamente el sueño de cualquier gamer: un fallo en la plataforma que permitía obtener las CD keys de cualquier videojuego de Steam.

Moskowsky reportó el bug hace tres meses, el 7 de agosto para ser exactos. Cuatro días después Valve resolvió el problema y le pagó una recompensa de 20.000 dólares. Pero no fue hasta hace unos días que el fallo se hizo público.

Un vistazo a…
Los 25 juegos mas dificiles de la historia

Un problema en Steamworks

El bug afectaba a Steamworks, la API de Valve que ayuda a los desarrolladores a crear y publicar juegos o mods en su plataforma. Usando unos parámetros específicos en partner.steamgames.com/partnercdkeys/assignkeys/ un usuario autenticado podía descargar CD keys previamente generadas para un juego al que normalmente no tendrían acceso.

Introducir Clave Steam

El investigador descubrió que si al momento de reclamar una clave de activación que no poseía cambiaba el parámetro de recuento de claves a "0", podía saltarse las limitaciones de la API. Es decir, cualquiera que siguiese los pasos descubiertos por Moskowsky podía activar cualquier videojuego de Steam sin haberlo comprado.

El investigador fue capaz de generar y descargar más de 36.000 CD keys de Portal 2 durante sus pruebas

Durante sus pruebas y antes de notificar a Steam, el investigador fue capaz de generar y descargar más de 36.000 CD keys de Portal 2, y además se dio cuenta que un atacante podría revisar todos los identificadores de los juegos de Steam y descargar absolutamente todas sus claves de activación de forma gradual.

Por supuesto este bug fue calificado como un fallo de severidad crítica, pero Valve no ha hecho público si llegó a ser explotado antes de que Moskowsky lo reportara.

Vía | ZDNet

Comentarios cerrados
Inicio