El fallo permitía a cualquier usuario autenticado generar claves para juegos sin que la plataforma pudiese darse cuenta
El investigador de seguridad Artem Moskowsky ha descubierto un fallo de seguridad en la plataforma de videojuegos Steam que permitía generar claves de licencia de cualquier videojuego, pudiendo venderse estos en otros portales. Valve, la empresa tras Steam, ha recompensado al descubridor del fallo con 20.000$, de los cuales 5.000$ son por no divulgar el fallo. Steam es una de las plataformas de videojuegos para PC más populares del mercado, teniendo en su haber la gran mayoría de videojuegos disponibles para ordenador.
Aunque no se han hecho públicos los detalles del fallo, según ha revelado Steam en HackerOne, éste se encontraba en la API de la plataforma para la generación de claves por las empresas asociadas, más concretamente en la ruta ‘/partnercdkeys/assignkeys/’. Utilizando un parámetro que no se ha divulgado, era posible generar claves para cualquier juego, con tal de encontrarse autenticado en la plataforma. El investigador, según ha revelado a The Register, se encontró el fallo por casualidad, pudiendo generar 36.000 claves del videojuego Portal 2. Se desconoce si el fallo ha estado siendo utilizado con anterioridad, ya que según Steam no se estaba monitorizando este componente de la API, pudiendo haberse estado utilizando para generar claves para su venta en el mercado gris, un mercado de claves de juegos de dudosa procedencia.
LEER MAS: https://unaaldia.hispasec.com/2018/11/fallo-en-steam-permitia-generar-licencias-gratis-ilimitadas.html