Un fallo en Steam permitía a cualquiera robar fácilmente cualquier cuenta

Conocimiento pertenece al mundo
Tweet about this on TwitterShare on FacebookShare on LinkedInShare on Google+Share on StumbleUponShare on TumblrShare on RedditPin on PinterestEmail this to someone

Steam se ha convertido con el paso de años en una plataforma de juegos muy importante. Por lo general esta plataforma suele estar bien protegida ya que mueve una completa biblioteca de juegos y una gran cantidad de información sobre los usuarios, sin embargo, al igual que en cualquier otro software o plataformas online, en algunas ocasiones pueden aparecen problemas o fallos de seguridad que comprometen seriamente la integridad de su red y la privacidad de sus clientes.

A lo largo del fin de semana se ha descubierto un fallo de seguridad crítico que afectaba al 100% de las cuentas de esta plataforma de juegos. En condiciones normales, cuando un usuario intenta cambiar la contraseña de su plataforma de juegos Steam envía un código por correo electrónico para proceder al cambio. Este código debe copiarse al asistente de cambio de contraseña para poder continuar.

Este fallo de seguridad permitía que cuando se intentaba cambiar la contraseña de cualquier usuario y el atacante dejaba el espacio del código en blanco la plataforma lo identifica como “código correcto” y nos permitía seguir con el asistente y cambiar la contraseña de dicha cuenta sin ningún tipo de confirmación adicional.

A continuación os dejamos un vídeo donde se enseña lo sencillo que era robar cualquier cuenta:

Desde Valve intentan tranquilizar a los usuarios ya que según afirman las contraseñas no se han desvelado en ningún momento. También recuerdan que aquellas cuentas protegidas por Steam Guard tampoco se han visto comprometidas ya que aunque se ha modificado la contraseña en ningún momento han permitido el acceso a usuarios no autorizados.

Steam Guard: La doble autenticación era la única forma de protegerse

Todas las cuentas de usuario eran vulnerables. Cualquier usuario que siguiera el proceso podía cambiar la contraseña de cualquier cuenta de la plataforma. Por suerte Steam cuenta con medidas de protección adicionales (aunque son opcionales) para poder reforzar la seguridad de su plataforma de juegos.

Steam Guard es el sistema de doble autenticación de la compañía. Cuando un usuario intenta iniciar sesión desde una red nueva diferente a la habitual la compañía envía a través del correo electrónico un código alfanumérico que debe introducir para continuar con el proceso de inicio de sesión. Sin dicho código ningún usuario accede a los datos de la plataforma.

Cuando usuarios malintencionados empezaron a cambiar contraseñas y a apoderarse de diferentes cuentas pudieron darse cuenta de que el sistema Steam Guard no era vulnerable como el código de cambio de contraseña. Por ello, cuando introducían la nueva contraseña aquellos usuarios con este sistema de doble autenticación habilitado recibían un correo electrónico con el código, sin el cual, era imposible acceder a la cuenta.

Es recomendable, siempre que sea posible, activar todas las medidas de seguridad posibles para proteger el acceso a las cuentas. Ya sea con una doble autenticación como mediante otros sistemas de seguridad de manera que si uno de los sistemas de acceso se ve comprometido nuestra cuenta pueda seguir protegida por otra capa de seguridad adicional.

Fuente:http://www.redeszone.net/

Conocimiento pertenece al mundo
Tweet about this on TwitterShare on FacebookShare on LinkedInShare on Google+Share on StumbleUponShare on TumblrShare on RedditPin on PinterestEmail this to someone
Tags: