Tutoriales y Manuales
Entradas Mensuales
-
►
2024
(Total:
1090
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
▼
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
▼
agosto
(Total:
49
)
- Especificaciones y características PCI-Express 6.0
- Consejos básicos seguridad para evitar malware en ...
- Estudio demuestra que el 40% del código generado p...
- Grave vulnerabilidad afecta base datos Cosmos util...
- El kernel de Linux cumple 30 años
- Hackea más de 300 cuentas de iCloud para robar 620...
- Samsung puede bloquear remotamente televisores rob...
- Obtener privilegios de administrador en Windows 10...
- Plataforma de Microsoft Power Apps expone por erro...
- España compra 15 dispositivos para desbloquear iPh...
- Las 15 principales vulnerabilidades en sistemas Linux
- Medidas de seguridad para usuarios de Discord
- Desarticulada en A Coruña una red que robaba cuent...
- La Policía Nacional Española desmantela una granja...
- Tesla presenta prototipo de robot humanoide para 2022
- Cloudflare mitiga el ataque HTTP DDoS más grande c...
- Vulnerabilidad crítica en QNX de BlackBerry compro...
- SerenityOS, el sistema Unix con aspecto de Windows NT
- Poly Network quiere contratar como asesor jefe de ...
- Vulnerabilidades servicio cola de impresión de Win...
- Graves vulnerabilidades chips Realtek utilizados p...
- La policía de Dallas deja libre a un sospechoso po...
- Filtradas 1 millón de tarjetas de crédito de form...
- Más de 1,9 millones de registros de lista de vigil...
- T-Mobile en USA investiga una filtración masiva de...
- Valve soluciona fallo de seguridad que permitía añ...
- Investigadores crean "caras maestras" capaces de e...
- Grupo ciberdelincuentes SynAck entrega llave de ci...
- Hackean y roban BD con datos privados de los clien...
- Principales vectores de entrada en ataques de rans...
- Consultora multinacional Accenture confirma ser ví...
- Consiguen robar 611 millones dólares en el mayor a...
- Norton Antivirus compra su rival Avast por 8 mil m...
- Detenidos 10 ciberdelincuentes estafadores que ofr...
- Vulnerabilidad física módulos TPM permite hackear ...
- ChatControl: la muerte de la privacidad en Europa
- Alertan campaña activa abusando de la grave vulner...
- Filtrados manuales técnicos hacking ransomware Conti
- Fabricante GIGABYTE víctima de un ataque de ransom...
- Apple escaneará las fotos de tu iPhone en busca de...
- Encuesta anual lenguajes de programación en StackO...
- Análisis fiabilidad de discos duros mecánicos y un...
- Ataque de ransomware bloquea el sistema citas vacu...
- Clonar Disco Duro HDD a Unidad SSD con Drive Snapshot
- 2ª Edición formación gratuita Academia Hacker de I...
- Antivirus gratuito Windows Defender de Microsoft
- Multan a Zoom con 85 millones dólares por sus prob...
- DNI Europeo, el DNI 4.0 de España, una identidad d...
- Activar cifrado BitLocker en Windows 11
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
Entradas populares
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
-
iperf3 es la última versión del popular programa iperf para medir el ancho de banda entre dos o más equipos en red local o Internet . Es...
-
A finales del mes de agosto hablábamos de que los legisladores estadounidense habían solicitado la investigación de TP-Link . Y así, ya ten...
Valve soluciona fallo de seguridad que permitía añadir fondos ilimitados a la Cartera de Steam
Un investigador de seguridad conocido bajo el alias de Drbrix encontró un fallo de seguridad en Steam que permitía añadir fondos ilimitados a la cartera de la tienda digital. El fallo fue reportado a Valve mediante la plataforma Hackerone el 9 de agosto y un día después la compañía lo consiguió replicar y solucionar. El investigador consideró que se trataba de un fallo de gravedad moderada, pero Valve lo elevó a crítico y lo recompensó con 7.500 dólares.
Las billeteras en Steam son utilizadas para comprar suscripciones a juegos dentro de la tienda oficial, así como otros contenidos y productos relacionados. Y si bien de acuerdo con los términos y condiciones de Steam los fondos dentro de las billeteras no son transferibles y tampoco pueden retirarse para pasarlo a dinero real, hay quienes han encontrado la manera de poder retirar el dinero de sus billeteras; por ejemplo, comprando otros productos que luego venden en otras plataformas a cambio de dinero.
En el registro de Hackerone
que ahora ha quedado descubierto, Drbrix explica cómo el fallo de
seguridad permitía a un atacante convertir un depósito de 1 euro en la
Steam Wallet en uno de 100 euros, el máximo por transacción. Para
hacerlo se tenía que cambiar el correo electrónico de Steam por uno
nuevo que incluyese “amount100” y añadir fondos mediante la plataforma
Smart2Pay, para posteriormente interceptar el mensaje de la API y
editarla con la cantidad deseada. De esta forma se podría añadir 1 euro a
la cartera y recibir 100.
“Creo que el impacto [del falló de
seguridad] es obvio, el atacante puede generar dinero y romper el
mercado de Steam, vender claves a bajo precio…”, dice Drbrix en su
informe. Por su parte, Valve respondió mediante JonP, que además de
agradecer el aviso del hacker le informó que la compañía ya estaba
trabajando en tomar medidas para atajar el problema. Después de aplicar
la solución Drbrix comprueba que no puede ejecutar de nuevo el exploit.
Posteriormente,
el mismo empleado de Valve le indica al hacker que el informe estaba
claramente redactado y que fue útil para identificar un riesgo real para
el negocio, motivo por el cual eleva de moderada a crítica la severidad
del fallo de seguridad. Esto significa que la recompensa pasa de 750 a
7.500 dólares. Las cantidades de dinero que Valve (o cualquier otra
compañía) paga por fallos de seguridad mediante Hackerone está
preestablecida, pero siempre puede abonar más dinero del previsto si así
lo considera oportuno.
En 2018 Valve decidió abonar 20.000 dólares
a un hacker que usó Hackerone para informar a la compañía sobre un
fallo de seguridad que permitía generar códigos de juegos en Steam. En
esa ocasión el exploit estaba en Steamworks y con un solo cambio
en un parámetro cualquier persona con una cuenta de desarrollador podría
generar miles de claves de activación de cualquier título disponible en
la tienda digital. Valve ha pagado un total de 1.505.550 dólares por
fallos de seguridad reportados mediante Hackerone.
El usuario/atacante podía interceptar las solicitudes POST entre Valve y Smart2Play al evadir el hash criptográfico para la protección de las transacciones, explicó Threatpost. Para hacer esto, el pago debe realizarse seleccionando cualquier alternativa que utilice el método de pago Smart2Play, que es una plataforma de pago tercera con la que se comunica el API de Steam para realizar el proceso.
En lo que refiere a la evasión del hash, “si bien no es posible modificar los parámetros al existir un campo Hash firmado; la firma es generada como ese mismo hash (ALL_FIELDS_NAMES_VALUES_CONTACTED)”, explica drbrix. Por lo tanto, “con la dirección de correo especial es posible mover parámetros de forma tal que se modifique el monto que se cargará en la billetera” agregó.
Fuente:
https://www.elotrolado.net/noticias/juegos/steam-seguridad-fondos-cartera
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.