El encargado de reportar el error fue recompensado con 20 mil dólares
Un investigador en ciberseguridad descubrió y reportó un error en Steam que permitió a las personas descargar cualquier juego disponible en la plataforma digital sin necesidad de pagar por él, reportan expertos en forense digital del Instituto Internacional de Seguridad Cibernética.
El investigador de seguridad Artem Moskowsky fue el responsable de encontrar esta falla, la cual permitía a cualquiera generar claves de licencia para acceder a material disponible únicamente mediante la compra de una licencia.
Especialistas en forense digital calculan que son millones de personas que usan Steam para comprar y descargar juegos.
El Sr. Moskowsky le informó a Valve, dueños de Steam, recibiendo 20 mil dólares a cambio, gracias al programa de recompensas por reportes de vulnerabilidades de la empresa.
Este tipo de programas permite a las compañías recompensar a los expertos en ciberseguridad y forense digital que dan a conocer los problemas de seguridad directamente a las compañías para que puedan ser reparados, en lugar de compartir la información en línea.
Moskowsky afirma que descubrió el problema de forma circunstancial, mientras navegaba por el portal de socios de Steam.
Este portal permite a los desarrolladores de juegos generar claves de licencia para su software, lo que les permite entregar una copia a sus fanáticos o a expertos en el tema para que los prueben antes de estar disponibles para el público en general.
El experto descubrió que, al modificar la solicitud, se le permite a cualquiera generar miles de códigos para cualquier juego que ellos quieran. En teoría, esto podría venderse en cualquier foro de mercado negro en línea.
“Logré pasar por alto la verificación de la propiedad del juego cambiando solo un parámetro”, reporta el experto.
Valve le otorgó 15 mil dólares por descubrir el error, además de un bono de 5 mil dólares adicionales por hacer comunicar a la empresa sobre el error de manera privada. La falla fue corregida poco después de que la empresa recibiera el reporte.
La empresa también mencionó que, después de una investigación en sus registros, no ha encontrado pruebas de que el bug haya sido explotado en un escenario del mundo real.
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad