Fallo en Steam permitía generar licencias gratis ilimitadas

El fallo permitía a cualquier usuario autenticado generar claves para juegos sin que la plataforma pudiese darse cuenta

El investigador de seguridad Artem Moskowsky ha descubierto un fallo de seguridad en la plataforma de videojuegos Steam que permitía generar claves de licencia de cualquier videojuego, pudiendo venderse estos en otros portales. Valve, la empresa tras Steam, ha recompensado al descubridor del fallo con 20.000$, de los cuales 5.000$ son por no divulgar el fallo. Steam es una de las plataformas de videojuegos para PC más populares del mercado, teniendo en su haber la gran mayoría de videojuegos disponibles para ordenador.

Aunque no se han hecho públicos los detalles del fallo, según ha revelado Steam en HackerOne, éste se encontraba en la API de la plataforma para la generación de claves por las empresas asociadas, más concretamente en la ruta ‘/partnercdkeys/assignkeys/’. Utilizando un parámetro que no se ha divulgado, era posible generar claves para cualquier juego, con tal de encontrarse autenticado en la plataforma. El investigador, según ha revelado a The Register, se encontró el fallo por casualidad, pudiendo generar 36.000 claves del videojuego Portal 2. Se desconoce si el fallo ha estado siendo utilizado con anterioridad, ya que según Steam no se estaba monitorizando este componente de la API, pudiendo haberse estado utilizando para generar claves para su venta en el mercado gris, un mercado de claves de juegos de dudosa procedencia.

No es la primera vez que el Artem Moskowsky descubre un fallo en la plataforma; ya en julio de este año descubrió un SQL Injection en el fichero ‘report_xml.php’ utilizando el parámetro ‘countryFilter[]’, que permitía acceder a información confidencial de la base de datos, y por el que fue recompensado con 25.000$ (siendo 5.000$ también un bonus).

Es una buena noticia que empresas como Valve recompensen el trabajo realizado por los investigadores de seguridad, como ha sido el caso de Artem Moskowsky. No obstante, no podemos saber si el fallo ha estado siendo explotado anteriormente, con el impacto económico que ello conlleva. Es por ello, que es importante realizar una auditoría de todo el software en producción, y monitorizar todos los puntos de entrada para encontrar posibles fallos y usos inapropiados. Nunca se conocen las intenciones que un atacante puede tener, y siempre es mejor prevenir que curar.

Juan José Oyague
joyague@hispasec.com

Más información:

@mskwsky en Twitter:
https://twitter.com/mskwsky

#391217 Getting all the CD keys of any game:
https://hackerone.com/reports/391217

I found a security hole in Steam that gave me every game’s license keys and all I got was this… oh nice: $20,000:
https://www.theregister.co.uk/2018/11/09/valve_steam_key_vulnerability/

#383127 SQL Injection in report_xml.php through countryFilter[] parameter:
https://hackerone.com/reports/383127