27-07-2015 19:12
Un agujero de seguridad en Steam permitía robar cuentas a través del proceso de recuperación de contraseña, sabiendo sólo la dirección de email.
Los chicos de┬áSteam┬áhan tenido un fin de semana bastante movidito después de descubrirse un fallo de seguridad en su plataforma que permitía┬átomar el control de una cuenta┬áen unos segundos y sólo┬áconociendo la dirección de correo electrónico asociado a ella.
Tal y como leemos en┬áThe Next Web, explotar este error┬áera tan fácil como solicitar el proceso de┬árestablecimiento┬áde contraseña. En él, nos piden confirmar la dirección de email de la cuenta a la que nos enviarán un┬ácódigo de confirmación.
El problema era que en ese paso,┬áno hacía falta introducir ningún código, bastando con dejar el campo de texto vacío y continuar al siguiente paso para cambiar la contraseña, un fallo muy gordo. En el siguiente vídeo podéis verlo en directo:
Este grave fallo de seguridad implicaba que cualquiera podía tomar el control de una cuenta sin más datos que una dirección de email. Desde┬áValve┬áya aseguran que han estado trabajando en ello y┬áha sido solucionadopocas horas después de descubrirse.
Según indicaron, el fallo de seguridad en Steam afectó sólo a┬ácuentas creadas del 21┬áal 25 de julio, un susto que podría haber sido mayor de descubrirse antes y provocado un ataque mayor.
Como siempre, una de las formas de protegerse es activar la┬áverificación en dos pasos, que en Steam se denomina┬áSteam Guard, puedes leer más sobre esta medida y┬ácómo aplicarla a tu cuenta desde┬ásu web.