El denunciante fue generosamente recompensado por la empresa, que de otro modo podría haber perdido mucho dinero.
Algunas personas siempre están desesperadas por ganar dinero sin escrúpulos, y Valve ha estado cerca de pagar el precio. De hecho, recientemente, la empresa propietaria de Steam introdujo una actualización en su plataforma, que permite a los usuarios financiar su billetera virtual para realizar compras en el sitio de manera más simple.
Si esta noticia deleitó a los usuarios en general, benefició principalmente a unos pocos piratas informáticos que inmediatamente encontraron una falla en el sistema de pago seguro que les permitía depositar fondos en su cuenta de manera indefinida, por solo un euro simbólico. Si el problema se corrigió el mismo día, Valve no se alejaría mucho de un gran desastre financiero si el método se hubiera filtrado más ampliamente.
De hecho, el proceso fue bastante simple. Antes de realizar la compra en cuestión, primero tenía que cambiar su dirección de correo electrónico asociada a la cuenta agregando la siguiente «cantidad100» al final de la misma. Luego, una vez en el sistema Smart2Pay, los usuarios simplemente tenían que indicar la suma de 1 euro, luego interceptar la solicitud POST para poder modificar libremente el monto.
Un usuario recompensado por su honestidad
Es gracias a un usuario llamado drbrix que Valve pudo hacer lo necesario y corregir esta falla. Tan pronto como tuvo conocimiento del método, redactó un informe completo a la empresa con el fin de alertarlos de la situación. Dijo que «el atacante puede ganar dinero y romper el mercado de Steam vendiendo claves de juegos baratas», entre otras cosas.
Para agradecerle su capacidad de respuesta, Valve le pagó la suma de $ 7,500 a través del sitio de HackerOne en el que se publicó el informe, una suma significativa por una falla que realmente podría haber dañado a la empresa.
