Hasta hace una semana, un error de seguridad en Steam permitía añadir fondos infinitos a la cartera de la tienda digital "gratuitamente". El bug, que potencialmente habría causado pérdidas cuantiosas, fue encontrado por el usuario de Hackerone "drbrix". Valve, propietaria de la tienda digital, ha pagado 7.500 dólares al hacker por informar del descubrimiento.

Como cuentan desde Kotaku, Hackerone es una página web en la hackers a los que les gusta trastear con software, aplicaciones y páginas web pueden contactar directamente con las compañías registradas en el portal para informar de fallos de seguridad de manera privada. Las empresas pueden recompensar a los usuarios con pagos.

Eso fue lo que ocurrió el 9 de agosto con Valve y "drbrix". El hacker se percató de que al utilizar un método de pago Smart2Pay para añadir fondos a la Cartera de Steam, se podía cambiar la cifra de dinero que se añadiría a Steam Wallet sin afectar a la cantidad cobrada, utilizando un método relativamente simple que implicaba cambiar la dirección de email de la cuenta de Steam y modificar el código de la pasarela de pago.

"Creo que el impacto es bastante obvio", escribió el hacker al informar a Valve del error, "un atacante puede generar dinero y romper el mercado de Steam, vender claves de juegos baratas, etcétera". "Gracias por este aviso", respondió el 10 de agosto "jonp", un empleado de Valve en Hackerone. "Estaba escrito claramente y ayudó a identificar un riesgo real en el negocio [...] Esperamos saber más de ti en el futuro".

Noticia extraída de vandal.