El hacker DRbrix se ganó 7500 dólares por parte de Valve luego de que descubriera una falla de seguridad en los métodos de pago de Steam. Esta persona consiguió la manera de añadir fondos ilimitados al interceptar la conexión de cualquier método Smart2Pay y añadiendo fondos de cualquier cantidad y pagando solo lo mínimo (1 dólar).
Al parecer esta falla de seguridad debe tener varios años allí y solo hasta ahora alguien la descubrió, además el que lo hizo fue honesto y reportó la situación a Valve. Por supuesto lo hizo por una recompensa, pero al final resultó mejor para él y para la seguridad de Valve. Se desconoce si esta falla también podía reportar problemas para los usuarios.
Un exploit menos
Drbrix publicó como realizar este «truco» en Hackerone y allí recibió la respuesta de jonp, un usuario que representa a Valve, agradeciendo por el aviso. Poco después esta persona notificó que el asuntó se había resuelto y ya no era posible modificar la solicitud por un monto deseado.
Steam posee una de las plataformas más grandes del mercado y es sorprendente que un bug así haya estado oculto a plena vista de esta manera. Por suerte, han reaccionado rápido y, según su propio comunicado, ningún desarrollador o jugador se vio afectado por la presencia de este bu.
Si les interesan los detalles técnicos pueden leer acá cómo se interceptaba la conexión para pagar solo 1 dólar por cualquier cantidad deseada.