Quando Watch Paint Dry foi publicado no Domingo no Steam, com data prevista de lançamento para Primeiro de Abril, muitos acharam que era uma “pegadinha” da empresa. Mas era uma vulnerabilidade.
O jogo de 45 segundos de duração que fazia com que o “jogador” contemplasse a tinta secando em uma parede virtual foi inserido na loja por um jovem hacker de 16 anos que aproveitou uma série de falhas de segurança no sistema de aprovação.
Ruby Nealon admitiu a autoria do experimento, publicou em sua conta no Medium um passo a passo de como conseguiu burlar o processo de cadastramento de jogos no Steam e avisou a loja sobre as vulnerabilidades exploradas. Segundo Nealon, a Valve foi rápida em corrigir os problemas depois do incidente, embora ele tenha tentado alertar a empresa anteriormente diversas vezes por e-mail.
O hacker conseguiu uma licença Steamworks através de engenharia social e esse foi o primeiro passo para sua ousada brincadeira. O Steamworks é um kit de desenvolvimento obrigatório para qualquer desenvolvedor que deseje que seu jogo seja compatível com as funcionalidades da loja. Com as ferramentas nas mãos, Nealon produziu um “jogo” de 45 segundos no RPGMaker e rascunhou cartas e brindes em “dez minutos de Photoshop”. Estava pronto Watch Paint Dry.
A seguir, Nealon se aproveitou de campos hidden e comandos AJAX sem obfuscação em formulários de aprovação do sistema da loja. Ele também conseguiu adivinhar o número de um funcionário da Valve com privilégio de autorização apenas ao utilizar “id=1”. Seu objetivo era lançar Watch Paint Dry (gíria americana para algo extremamente chato) no Primeiro de Abril, mas ao mexer no código acabou ludibriando o sistema mais rápido do que imaginava e provocando a aprovação instantânea.
O lançamento não foi bem-recebido pela comunidade de usuários do site. Embora alguns tenham confundido o jogo com uma brincadeira adiantada do Dia da Mentira, outros acusaram o “desenvolvedor” de ser um golpista ou aproveitador ou mais um da recente onda de títulos de qualidade duvidosa que apareceram no Steam.
Para Ruby Nealon, a experiência foi um sucesso. “eu fiquei feliz com a reação das pessoas. Pessoas estão irritadas a respeito, e eu queria que elas falassem sobre isso. Eu queria que as pessoas percebessem que esse é um dos maiores sites da Internet, e esse é o backend. A p*** de um garoto de 16 anos quebrou isso em duas noites”.
