Chico de 16 años se salta el sistema de seguridad de Steam

Un joven ha localizado un fallo de seguridad importante en Steam. A veces la única forma de que una empresa escuche a quienes reportan fallos de seguridad de forma altruista, es que estas personas sobrepasen directamente los sistemas de la propia empresa. Que duda cabe, con la prueba de concepto en la mano (y si usuarios lo ven, mejor) ya se lo piensan dos veces.

Resulta que un chico llamado Ruby Nealon, de tan sólo 16 años, que estudia actualmente ciencias de la información en la Universidad de Salford, quería probar un fallo en el sistema de verificación de Steam (de Valve). Según parece existen fallos en el sistema de aprobación de Steam, así que se benefició del mismo para auto-aprobarse unas cuantas Trading Cards (la gente las compra y vende) y publicar un juego falso, creado por él, que apareció en la tienda de Steam sin siquiera ser detectado por sus responsables!

Chico de 16 años se salta el sistema de seguridad de Steam

En el siguiente post se explica de forma más técnica de qué fallos se valió este chico para saltarse el sistema de seguridad de Steam (ojo, Valve ya lo ha reparado).

A grosso modo podríamos decir que modificó los valores de sus solicitudes emitidas, para asemejarlas a las que ya habían sido revisadas y aprobadas. Es decir, copió el estado «lanzado» de unas a otras.

Algo que he aprendido definitivamente de esto es que, cuando juegas con contenido generado por el usuario que antes debe ser aprobado, no se debe tener dos estados diferentes (review ready/reviewed) para el contenido.

En su lugar, lo que dice Nelon es que quizá sería mejor hacer un flujo de auditorías para los elementos, dando a cada parte un «ticket de revisión» o algo que lo haga único, y no permitiendo que el contenido cambie al estado Lanzado hasta que no exista un ticket de «Revisión» generado para este elemento. Suena lógico, ¿no?.

Parece ser que para hacer este experimento fué invitado previamente a participar (con una cuenta abierta) en el Programa Steamworks Developer) aunque no ha detallado como ni quién decidió invitarle. Parece ser que tenía sus buenos motivos para no desvelarlo. Lo que si ha asegurado es que no ha vulnerado ningún formulario web ni nada parecido, ni tampoco tuvo contacto directo con nadie de Valve.