Tutoriales y Manuales
Entradas Mensuales
-
►
2024
(Total:
1090
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
▼
2018
(Total:
150
)
-
▼
noviembre
(Total:
21
)
- Incidente de Seguridad en tienda Dell.com
- Servicio de Correos Americano (USPS) expone datos ...
- Alemania quiere regular los routers que usan los u...
- Congreso Español aprueba el cierre de páginas web ...
- 0-day en PHP: borran 6.500 sitios de la Dark Web e...
- Ministro Ciberseguridad Japonés nunca ha usado un ...
- Herramientas y recursos de seguridad en Amazon Web...
- Seguridad informática con Raspberry Pi
- Crean huellas dactilares maestras capaces de engañ...
- Firefox avisa cuando entras a una web que haya sid...
- ISP Nigeriano redirecciona por error tráfico de Go...
- Actualización de seguridad para Plugin WordPress p...
- Bot crea parches en GitHub bajo pseudónimo humano ...
- CAINE 10 - Computer Aided Investigative Environmen...
- Valve recompensa con 20 mil dólares descubridor bu...
- Copia de Seguridad de WhatsApp en Google Drive
- PHP 5 y 7.0 dejarán de tener soporte a finales de año
- Manual JavaScript quiere que aprendas el 80% de to...
- Samsung anuncia su primer smartphone con pantalla ...
- Vulnerabilidades críticas en el cifrado nativo de SSD
- Hackers vinculados a Corea del Norte roban millone...
-
▼
noviembre
(Total:
21
)
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
seguridad
(
396
)
privacidad
(
364
)
google
(
355
)
ransomware
(
341
)
vulnerabilidad
(
305
)
Malware
(
265
)
Windows
(
246
)
android
(
244
)
cve
(
237
)
tutorial
(
237
)
manual
(
222
)
software
(
206
)
hardware
(
196
)
linux
(
127
)
twitter
(
117
)
ddos
(
95
)
WhatsApp
(
92
)
Wifi
(
85
)
cifrado
(
77
)
herramientas
(
75
)
hacking
(
73
)
sysadmin
(
68
)
app
(
65
)
Networking
(
57
)
nvidia
(
53
)
ssd
(
51
)
youtube
(
50
)
firmware
(
44
)
adobe
(
43
)
office
(
41
)
hack
(
40
)
firefox
(
36
)
contraseñas
(
32
)
eventos
(
32
)
antivirus
(
31
)
juegos
(
31
)
cms
(
30
)
flash
(
28
)
anonymous
(
27
)
apache
(
26
)
MAC
(
25
)
programación
(
25
)
exploit
(
23
)
multimedia
(
23
)
javascript
(
22
)
Kernel
(
20
)
ssl
(
19
)
SeguridadWireless
(
17
)
documental
(
16
)
Forense
(
15
)
conferencia
(
15
)
Debugger
(
14
)
lizard squad
(
14
)
técnicas hacking
(
13
)
auditoría
(
12
)
delitos
(
11
)
metasploit
(
11
)
Virtualización
(
10
)
adamo
(
9
)
reversing
(
9
)
Rootkit
(
8
)
Ehn-Dev
(
7
)
MAC Adress
(
6
)
antimalware
(
6
)
oclHashcat
(
5
)
Entradas populares
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
-
iperf3 es la última versión del popular programa iperf para medir el ancho de banda entre dos o más equipos en red local o Internet . Es...
-
A finales del mes de agosto hablábamos de que los legisladores estadounidense habían solicitado la investigación de TP-Link . Y así, ya ten...
Valve recompensa con 20 mil dólares descubridor bug que permitia licencias infinitas
miércoles, 14 de noviembre de 2018
|
Publicado por
el-brujo
|
Editar entrada
El investigador de seguridad Artem Moskowsky encontró el pasado verano
un fallo en Steam que permitía generar miles de claves gratuitas para
cualquier título disponible en la plataforma de distribución digital. En
ese momento Moskowsky se enfrentó a la difícil decisión de una vida de
juegos gratis o recibir una recompensa económica por parte de Valve.
Por fortuna de la compañía el investigador escogió la segunda opción y
se terminó embolsando 20.000 dólares, 5.000 de los cuales son un bonus
por guardar silencio.
Encontro un agujero de seguridad en Steam que le dió las claves de licencia de todos y cada unos de los juegos y todo lo que obtuve fue esto ... $ 20,000. El error ya fue parcheado hace semanas por Valve
El investigador Artem Moskowsky se topó con la vulnerabilidad, que le valió una recompensa de $ 20,000 por informar de ello, por accidente mientras revisaba el portal de socios de Steam. Ese es el sitio que los desarrolladores usan para administrar los juegos que están disponibles para descargar desde Steam.
Moskowsky, un cazador de bugs y pentester profesional, dijo que ha estado investigando sobre seguridad desde que estaba en la escuela, y durante los últimos años, ha hecho una carrera al encontrar y reportar fallos.
En este caso, mientras buscaba en el sitio de desarrolladores de Steam, notó que era bastante fácil cambiar los parámetros en una solicitud de API y obtener a cambio claves de activación para un juego seleccionado. Esas claves, también conocidas como claves de CD, se pueden usar para activar y jugar juegos descargados de Steam. La API se proporciona para que los desarrolladores y sus socios puedan obtener claves de licencia para que sus títulos se transfieran a los jugadores.
"Este error se descubrió al azar durante la exploración de la funcionalidad de una aplicación web", explicó Moskowsky. "Podría haber sido utilizado por cualquier atacante que tuviera acceso al portal".
Esencialmente, cualquier persona que tuviera una cuenta en el portal de desarrolladores podría acceder a las claves de activación del juego para cualquier otro juego alojado en Steam, y venderlas o distribuirlas a los piratas para usarlas en juegos de Steam. La obtención de / partnercdkeys / assignkeys / API con un recuento de clave cero devolvió una gran cantidad de claves de activación.
"Para explotar la vulnerabilidad, era necesario hacer una sola solicitud", dijo Moskowsky . "Logré omitir la verificación de la propiedad del juego cambiando solo un parámetro. Después de eso, pude ingresar cualquier ID en otro parámetro y obtener cualquier conjunto de claves".
¿Cómo de grave era el agujero? Moskowski dice que, en un caso, ingresó una cadena aleatoria en la solicitud, para elegir un título al azar y, a cambio, obtuvo 36,000 claves de activación para Portal 2, un juego que aún se vende por $ 9.99 en la tienda Steam.
Afortunadamente para Valve, Moskowsky optó por presentar la falla en privado a través de HackerOne. El error de programación ha sido arreglado desde entonces.
Como muestra la entrada de HackerOne para la vulnerabilidad, Moskowsky presentó por primera vez el informe sobre la falla a principios de agosto. Tres días después, Valve entregó la recompensa de $ 15,000, así como una bonificación de $ 5,000 por el hallazgo, aunque Valve solo permitió que el informe se hiciera público el 31 de octubre.
El investigador nos dijo que este es un cambio bastante bueno, y Valve, en particular, es muy bueno con el manejo de solicitudes de investigadores y el pago de recompensas por errores.
De manera impresionante, esta recompensa de $ 20,000 ni siquiera es el pago más grande que Moskowsky ha recibido del servicio de juegos. En julio, le dieron $ 25,000 para eliminar un error que permitía realizar un ataque a ciegas por inyección SQL en el mismo portal de desarrolladores. Ambos fallos fueron valorados como críticos.
Moskowsky informó del error el 7 de agosto de 2018 y Valve lo solucionó hace unas semanas, pero no ha sido hasta ahora que la compañía ha permitido que se haga público mediante Hackerone, una plataforma que facilita el contacto entre hackers y el equipo de seguridad de una empresa. De acuerdo con el breve resumen facilitado por Valve, el error se aprovechaba de un fallo en Steamworks. Cambiando un solo parámetro, cualquier persona con una cuenta de desarrollador podría generar miles de claves de activación de cualquier juego disponible en la tienda.
En declaraciones a The Register, Moskowsky ha explicado que la vulnerabilidad encontrada en las herramientas de desarrollo de Steam le permitió saltarse la verificación de propiedad de un juego. Después solo tenía que poner la ID del título que quisiera para conseguir tantas claves de activación como deseara. Durante sus pesquisas el hacker logró hacerse con 36.000 claves de Portal 2, juego desarrollado por Valve. La compañía ha confirmado que la investigación llevada a cabo a raíz de este descubrimiento no encontró ninguna evidencia que el error haya sido utilizado con mala intención.
Fuentes:
https://www.elotrolado.net/noticia_valve-paga-20-000-dolares-a-un-hacker-que-descubrio-un-error-que-generaba-codigos-de-juegos-en-steam_38624
https://www.theregister.co.uk/2018/11/09/valve_steam_key_vulnerability/
Encontro un agujero de seguridad en Steam que le dió las claves de licencia de todos y cada unos de los juegos y todo lo que obtuve fue esto ... $ 20,000. El error ya fue parcheado hace semanas por Valve
El investigador Artem Moskowsky se topó con la vulnerabilidad, que le valió una recompensa de $ 20,000 por informar de ello, por accidente mientras revisaba el portal de socios de Steam. Ese es el sitio que los desarrolladores usan para administrar los juegos que están disponibles para descargar desde Steam.
Moskowsky, un cazador de bugs y pentester profesional, dijo que ha estado investigando sobre seguridad desde que estaba en la escuela, y durante los últimos años, ha hecho una carrera al encontrar y reportar fallos.
En este caso, mientras buscaba en el sitio de desarrolladores de Steam, notó que era bastante fácil cambiar los parámetros en una solicitud de API y obtener a cambio claves de activación para un juego seleccionado. Esas claves, también conocidas como claves de CD, se pueden usar para activar y jugar juegos descargados de Steam. La API se proporciona para que los desarrolladores y sus socios puedan obtener claves de licencia para que sus títulos se transfieran a los jugadores.
"Este error se descubrió al azar durante la exploración de la funcionalidad de una aplicación web", explicó Moskowsky. "Podría haber sido utilizado por cualquier atacante que tuviera acceso al portal".
Esencialmente, cualquier persona que tuviera una cuenta en el portal de desarrolladores podría acceder a las claves de activación del juego para cualquier otro juego alojado en Steam, y venderlas o distribuirlas a los piratas para usarlas en juegos de Steam. La obtención de / partnercdkeys / assignkeys / API con un recuento de clave cero devolvió una gran cantidad de claves de activación.
"Para explotar la vulnerabilidad, era necesario hacer una sola solicitud", dijo Moskowsky . "Logré omitir la verificación de la propiedad del juego cambiando solo un parámetro. Después de eso, pude ingresar cualquier ID en otro parámetro y obtener cualquier conjunto de claves".
¿Cómo de grave era el agujero? Moskowski dice que, en un caso, ingresó una cadena aleatoria en la solicitud, para elegir un título al azar y, a cambio, obtuvo 36,000 claves de activación para Portal 2, un juego que aún se vende por $ 9.99 en la tienda Steam.
Afortunadamente para Valve, Moskowsky optó por presentar la falla en privado a través de HackerOne. El error de programación ha sido arreglado desde entonces.
Como muestra la entrada de HackerOne para la vulnerabilidad, Moskowsky presentó por primera vez el informe sobre la falla a principios de agosto. Tres días después, Valve entregó la recompensa de $ 15,000, así como una bonificación de $ 5,000 por el hallazgo, aunque Valve solo permitió que el informe se hiciera público el 31 de octubre.
El investigador nos dijo que este es un cambio bastante bueno, y Valve, en particular, es muy bueno con el manejo de solicitudes de investigadores y el pago de recompensas por errores.
De manera impresionante, esta recompensa de $ 20,000 ni siquiera es el pago más grande que Moskowsky ha recibido del servicio de juegos. En julio, le dieron $ 25,000 para eliminar un error que permitía realizar un ataque a ciegas por inyección SQL en el mismo portal de desarrolladores. Ambos fallos fueron valorados como críticos.
Moskowsky informó del error el 7 de agosto de 2018 y Valve lo solucionó hace unas semanas, pero no ha sido hasta ahora que la compañía ha permitido que se haga público mediante Hackerone, una plataforma que facilita el contacto entre hackers y el equipo de seguridad de una empresa. De acuerdo con el breve resumen facilitado por Valve, el error se aprovechaba de un fallo en Steamworks. Cambiando un solo parámetro, cualquier persona con una cuenta de desarrollador podría generar miles de claves de activación de cualquier juego disponible en la tienda.
En declaraciones a The Register, Moskowsky ha explicado que la vulnerabilidad encontrada en las herramientas de desarrollo de Steam le permitió saltarse la verificación de propiedad de un juego. Después solo tenía que poner la ID del título que quisiera para conseguir tantas claves de activación como deseara. Durante sus pesquisas el hacker logró hacerse con 36.000 claves de Portal 2, juego desarrollado por Valve. La compañía ha confirmado que la investigación llevada a cabo a raíz de este descubrimiento no encontró ninguna evidencia que el error haya sido utilizado con mala intención.
Fuentes:
https://www.elotrolado.net/noticia_valve-paga-20-000-dolares-a-un-hacker-que-descubrio-un-error-que-generaba-codigos-de-juegos-en-steam_38624
https://www.theregister.co.uk/2018/11/09/valve_steam_key_vulnerability/
Enviar por correo electrónico
Escribe un blog
Compartir en X
Compartir con Facebook
Compartir en Pinterest
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.