Steam en el punto de mira por XSS

Steam, una marca propiedad del gigante de videojuegos Valve, estuvo en grandes problemas de seguridad, pero ya fueron solucionados.

Steam en punto de mira

steamValve y su plataforma Steam, atesoran muchos secretos, de lo contrario no tendrían el éxito que se conoce, con alrededor de 125 millones de usuarios activos, suma que muchas desarrolladoras de videojuegos quisieran amasar, pero no se debe a sus creaciones, más bien a la plataforma.

El punto es que, Valve ha tenido que publicar un parche para solucionar una vulnerabilidad XSS en Steam que podría ser explotada simplemente con ver un perfil de usuario modificado de cierta forma por un atacante. Esta vulnerabilidad permitiría a un atacante realizar ataques de phishing o ejecutar scripts maliciosos simplemente al abrir una página de perfil.

Al parecer, el principal problema venía cuando un atacante introducía código en el showcase de un perfil (la parte que el jugador decide destacar en su perfil para que se muestre a otros usuarios). Es por eso que una de las primeras recomendaciones fue deshabilitar JavaScript en los navegadores para así evitar la posibilidad de que se ejecutase código malicioso en el sistema de la víctima.

Valve vulnerable?

steamAsí pues, solo con que un usuario viese un perfil malicioso de otro usuario de Steam podría verse afectado de las siguientes formas:

  • El atacante podría utilizar estos scripts maliciosos introducidos en su perfil para hacer que la víctima se gaste los fondos que tiene asociados en su cuenta en cualquier objeto que el atacante desee. Tampoco sería necesario que la víctima confirmase la compra, puesto que esta se encuentra dentro de una sesión legítima.
  • El atacante podría redirigir a la víctima a una nueva web fuera de Steam que fuese, por ejemplo, una web de phishing. La víctima podría entonces introducir sus credenciales y estas serían robadas por el atacante.
  • Manipular elementos de la web a gusto del atacante.

Amplia más el tema en: protegerse.com

Sobre el Autor

ElTecnólogoEM

Técnico en Informática, apasionado y amante de todo lo relacionado con Internet, juegos, consolas, software y las nuevas tecnologías.

Cada día, trato de crear nuevo contenido para ti. Sígueme en las redes sociales y suscríbete a mi canal.

Si no sirves para servir, tampoco sirves para vivir. By: ElTecnólogoEM

Deja un comentario

Centro de preferencias de privacidad

Necessary

Las webs propiedad de BlogTi Media utilizan "cookies". Las cookies son ficheros creados en el navegador por medio de un servidor web para registrar las actividades del Usuario en una web determinada. Usamos esta información en formatos estadísticos y agregados para evaluar la eficacia y calidad de nuestras webs. Gracias a estos datos podemos mejorar tu experiencia al visitar alguna de nuestras web, tomando en cuenta prioridades e intereses de los visitantes. No recogeremos información personal sin tu consentimiento como por ejemplo nombre, apellido, correo electrónico, dirección postal o alguna otra de carácter privado.

Además se instalan cookies sobre servicios de terceros: • Facebook: Tiene como objetivo compartir los contenidos en Facebook. Sus finalidades están descritas en la Página de Cookies de Facebook. • Twitter: Permite compartir contenidos en Twitter. Sus finalidades están descritas en la Página de Privacidad de Twitter. • Google+: Permite compartir contenidos en Google+. Sus finalidades están descritas en la Página de Cookies de Google.

Advertising

Las políticas de Google Adsense y Bing Ads ayudan a los anunciantes a saber cómo crear un buen anuncio y lo que se puede incluir y no se puede incluir en ellos. Revisamos los anuncios y las palabras clave en función de estos requisitos para proporcionarte a ti y a tus clientes una fantástica experiencia en nuestra red publicitaria. Debes cumplir todas las políticas de Bing Ads. Usa las siguientes políticas para ayudar a que tus anuncios reciban la aprobación rápidamente y para evitar las consecuencias resultantes o retrasos. Nos reservamos el derecho de rechazar o eliminar cualquier anuncio, a nuestra entera discreción y en todo momento.