Un fallo en Steam expuso todas las claves de licencia en cualquier plataforma

vulnerabilidad en Steam

15000 dólares es lo que le ha valido al investigador de seguridad Artem Moskowsky su último descubrimiento importante. Además de 5000 dólares extra dado que Valve consideró este hallazgo como muy relevante. Y lo curioso de este experto es que ya recibió anteriormente otro premio de esta empresa -nada menos que 25000- por destapar otra vulnerabilidad en Steam anterior.

Ciñéndonos a lo que es la vulnerabilidad en sí, parece ser que Moskowsky descubrió hace meses que, debido a un fallo de seguridad en el portal de desarrollo de Steam, era posible revelar cualquier clave de licencia de cualquier usuario y…en cualquier plataforma. Casi nada.

Este investigador podría haber sacado un importante provecho económico de esto, pero escogió la vía honrada.

Vulnerabilidad en Steam permitía obtener todas las claves

Valve fue notificada en Agosto del problema, aunque ha decidido hacer pública la corrección ahora para tener suficiente tiempo de probar el parche de turno. El peligro ya no es tal.

El experto se percató del error por azar, mientras estaba haciendo scroll por el sitio de desarrollo de Valve, que es donde los desarrolladores venden sus juegos.

Según informa The Register:

Se dio cuenta de que era bastante fácil modificar unos parámetros en la solicitud a la API, para así conseguir claves de activación para el juego deseado a cambio. Estas claves pueden ser usadas para activar y jugar a juegos descargados mediante el cliente de Steam. Habitualmente, los desarrolladores utilizan dicha API para obtener claves de licencia que luego ofrecen a ciertos gamers.

El error se podría aprovechar solamente con hacer una solicitud. Moskowsky fue capaz de saltarse la verificación de permiso sobre el juego mediante el cambio de un sencillo parámetro. Después, pudo introducir cualquier ID en otros juegos para conseguir un conjunto de claves gratis.

En un caso concreto, el investigador obtuvo nada menos que 36000 claves de licencia de Steam para un juego como Portal 2 que, aunque antiguo, sigue vendiéndose y siendo relevante. Teóricamente, eso se podría haber traducido en un importe de 359640 $ en pérdidas para el desarrollador, en caso de haberse vendido dichas claves en el mercado negro.

El fallo fue reportado a través de la iniciativa HackerOne, un programa de recompensas que conecta a negocios con investigadores de ciberseguridad, en un esfuerzo conjunto por desarrollar contramedidas antes de que los malos saquen provecho de las vulnerabilidades.

Autor: Alejandro Sánchez

Alejandro es técnico micro-informático, experto en seguridad de las TIC y apasionado de la tecnología. Colabora habitualmente en diferentes publicaciones de seguridad, software y análisis de hardware entusiasta.