Ecco come un hacker ha inserito un gioco nel catalogo di Steam senza autorizzazione

Navigando il catalogo di Steam nel fine settimana sarebbe stato possibile imbattersi in Watch paint dry. In realtà a questo nome non corrisponde alcun gioco, visto che la product page in questione è stata inserita da un hacker di meno di 20 anni che è riuscito a sfruttare un exploit di Steam adesso patchato.

Ruby, che è il nickname con il quale l'hacker si fa individuare sulla rete, ha spiegato come è riuscito nella suo intento con un post su Medium. L'exploit non era disponibile a tutti gli utenti di Steam, ma solo a quelli registrati allo Steamworks Developer Program.

Ruby è andato alla ricerca di punti deboli all'interno dell'HTML del backend di Steamworks. Ha forzato il valore associato a un "editor ID" a "1", ipotizzando che tale variabile corrispondesse a un impiegato di Valve. In questo modo Ruby ha avuto accesso a un form in cui ha potuto inserire il valore "approvato" per il suo gioco per quanto riguarda il supporto al sistema di carte collezionabili di Steam. Evidentemente se un gioco è approvato per il sistema di carte collezionabili per Steam è anche già stato rilasciato.

Questa falla di sicurezza ha permesso a Ruby di di far accettare Watch paint dry come videogioco regolare senza ottenere un'espressa autorizzazione da Valve. Naturalmente non è la prima volta che Steam viene attaccato dagli hacker: come altri servizi di gioco similari, infatti, si conferma vittima preferenziale per i criminali informatici. I recenti attacchi di tipo DDoS sono solamente uno degli esempi in tal senso, mentre la compagnia di sicurezza informatica Revuln aveva in passato svolto uno studio molto dettagliato.