No último dia 9 de agosto, um pesquisador chamado de drbrix comunicou por meio da HackerOne, a popular plataforma de bug bounty, a descoberta de uma vulnerabilidade que permitia a um usuário alterar o saldo de sua carteira Steam. Depois de reportar a falha, a Valve corrigiu o bug e pagou US$ 7.500 ao pesquisador que o reportou.
As carteiras Steam são usadas para comprar assinaturas de jogos na loja oficial, bem como outros conteúdos e produtos relacionados. E embora, de acordo com os termos e condições do Steam, os fundos das carteiras não sejam transferíveis e não possam ser retirados para convertê-los em dinheiro real, alguns usuários encontraram uma maneira de retirar o dinheiro de suas carteiras digitais: comprando outros produtos para vendê-los em outras plataformas em troca de dinheiro, por exemplo.
Voltando à questão da falha, conforme explicou drbrix, para se aproveitar da falha seria necessário alterar o endereço de e-mail da conta da Steam para um endereço que inclua o termo "amount100". Por exemplo, “brixamount100abc@xxx.xxx”, explicou o pesquisador. Ao fazer isso, o usuário/cibercriminoso pode interceptar solicitações POST entre a Valve e a Smart2Play evitando o hash criptográfico para proteção das transações, explicou o site Threatpost. Para isso, o pagamento deve ser feito selecionando qualquer alternativa que utilize o método de pagamento Smart2Play, que é uma plataforma de pagamento terceirizada com a qual o API da Steam se comunica para realizar o processo.
Em relação à evasão de hash, “embora não seja possível modificar os parâmetros, pois existe um campo Hash assinado; a assinatura é gerada como esse mesmo hash (ALL_FIELDS_NAMES_VALUES_CONTACTED)”, explicou drbrix. Portanto, “com o endereço de e-mail especial é possível mover parâmetros de forma a modificar o valor que será carregado na carteira”, acrescentou.
A equipe da Valve agradeceu ao pesquisador por reportar o bug e classificou a vulnerabilidade como crítica devido ao impacto potencial que poderia ter para os negócios, explicou a empresa.
