0 Compartilhamentos 492 Views

Hacker de 16 anos publica jogo no Steam sem a Valve saber

30 de março de 2016

Quando Watch Paint Dry foi publicado no Domingo no Steam, com data prevista de lançamento para Primeiro de Abril, muitos acharam que era uma “pegadinha” da empresa. Mas era uma vulnerabilidade.

O jogo de 45 segundos de duração que fazia com que o “jogador” contemplasse a tinta secando em uma parede virtual foi inserido na loja por um jovem hacker de 16 anos que aproveitou uma série de falhas de segurança no sistema de aprovação.

Ruby Nealon admitiu a autoria do experimento, publicou em sua conta no Medium um passo a passo de como conseguiu burlar o processo de cadastramento de jogos no Steam e avisou a loja sobre as vulnerabilidades exploradas. Segundo Nealon, a Valve foi rápida em corrigir os problemas depois do incidente, embora ele tenha tentado alertar a empresa anteriormente diversas vezes por e-mail.

O hacker conseguiu uma licença Steamworks através de engenharia social e esse foi o primeiro passo para sua ousada brincadeira. O Steamworks é um kit de desenvolvimento obrigatório para qualquer desenvolvedor que deseje que seu jogo seja compatível com as funcionalidades da loja. Com as ferramentas nas mãos, Nealon produziu um “jogo” de 45 segundos no RPGMaker e rascunhou cartas e brindes em “dez minutos de Photoshop”. Estava pronto Watch Paint Dry.

watch-paint-dry

A seguir, Nealon se aproveitou de campos hidden e comandos AJAX sem obfuscação em formulários de aprovação do sistema da loja. Ele também conseguiu adivinhar o número de um funcionário da Valve com privilégio de autorização apenas ao utilizar “id=1”. Seu objetivo era lançar Watch Paint Dry (gíria americana para algo extremamente chato) no Primeiro de Abril, mas ao mexer no código acabou ludibriando o sistema mais rápido do que imaginava e provocando a aprovação instantânea.

O lançamento não foi bem-recebido pela comunidade de usuários do site. Embora alguns tenham confundido o jogo com uma brincadeira adiantada do Dia da Mentira, outros acusaram o “desenvolvedor” de ser um golpista ou aproveitador ou mais um da recente onda de títulos de qualidade duvidosa que apareceram no Steam.

Para Ruby Nealon, a experiência foi um sucesso. “eu fiquei feliz com a reação das pessoas. Pessoas estão irritadas a respeito, e eu queria que elas falassem sobre isso. Eu queria que as pessoas percebessem que esse é um dos maiores sites da Internet, e esse é o backend. A p*** de um garoto de 16 anos quebrou isso em duas noites”.

Carregando...

Você pode se interessar

Por que eu decidi não migrar para o Windows 11 agora
Artigos
119 visualizações
Artigos
119 visualizações

Por que eu decidi não migrar para o Windows 11 agora

Carlos L. A. da Silva - 19 de outubro de 2021

O novo sistema operacional da Microsoft está entre nós, mas talvez não seja uma boa ideia pular de cabeça.

Enumerando e analisando mais de 40 implementações de JavaScript (que não são V8)
Artigos
247 visualizações
Artigos
247 visualizações

Enumerando e analisando mais de 40 implementações de JavaScript (que não são V8)

Carlos L. A. da Silva - 6 de outubro de 2021

V8 é o interpretador JavaScript, também chamado de máquina virtual Javascript, desenvolvido pela Google e utilizado em seu navegador Google Chrome. Com o peso de seus criadores e a quase onipresença do navegador, foi apenas uma questão de tempo para essa implementação do JavaScritp se tornar dominante no mercado. Entretanto, um bom desenvolvedor sabe que […]

Sir Clive Sinclair, o homem adiantado no tempo
Artigos
428 visualizações
Artigos
428 visualizações

Sir Clive Sinclair, o homem adiantado no tempo

Carlos L. A. da Silva - 18 de setembro de 2021

O inglês Clive Marles Sinclair nasceu de uma família de engenheiros. Seu avô foi engenheiro, assim como o seu pai. Com um talento natural pela Matemática e um forte interesse em eletrônica, ele se tornaria uma página importante da popularização da computação em diversas partes do mundo, construindo um legado que se perpetuará por anos […]

Deixe um Comentário

Your email address will not be published.

Mais publicações

A cibersegurança por trás das vacinas
Artigos
529 visualizações
529 visualizações

A cibersegurança por trás das vacinas

Carlos L. A. da Silva - 7 de setembro de 2021
Top 25 comandos do Git
Artigos
670 visualizações
670 visualizações

Top 25 comandos do Git

Carlos L. A. da Silva - 28 de agosto de 2021
Dez anos de Kotlin: origens e futuro
Artigos
723 visualizações
723 visualizações

Dez anos de Kotlin: origens e futuro

Carlos L. A. da Silva - 20 de agosto de 2021