Steam: Problemas no e-commerce
Você já comprou algum jogo pela loja online da Steam? Sim? Cuidado então, seus dados podem ser pegos a qualquer momento por pessoas maliciosas
Um desenvolvedor de sistemas do Brasil descobriu uma falha grava no e-commerce da Steam, onde seus dados poderão estar expostos às pessoas maliciosas e causar dores de cabeça para você. Veja abaixo um pequeno resumo do "erro" da Valve.
Abaixo, irei exibir detalhes da falha que descobri no início deste mês no software Steam, da Valve Corporation. Trata-se de um dos softwares mais utilizados para distribuição de games para PC pela Internet. Recomendo que faça o download do relatório completo, pois o conteúdo deste post é apenas um resumo do trabalho publicado em pdf.
Download do relatório completo da falha em PDF > Clique Aqui.
Assista o Vídeo com a demonstração e a explicação da falha > Clique Aqui
Esta falha ainda não foi corrigida. Relatei-a para a VALVE no dia 10 de maio de 2009, e até o momento (18 de maio) não houve NENHUMA resposta.
Descrição da falha:
Um site na internet pode forçar, pelo navegador da vítima, a execução do Steam Protocol (steam://) fazendo com que, na aba Steam Store, seja aberto um link vulnerável a cross-site script da steam store (http://store.steampowered.com). É possível executar Java Script, e com isso obter o cookie do usuário, os aplicativos associados à conta, ou redirecionar a outra pagina sem que seja mostrado ao usuário que ele não se encontra mais na steam store (phishing).
Gabriel: Bom... O foco dos meus estudos na área de segurança é a análise de aplicativos que renderizem HTML, ou seja, que são (ou tem funções semelhantes a) navegadores. O steam, neste caso, usa o Internet Explorer na aba "Store", então a primeira coisa que quis analisar foi esta parte do programa. Quis, também, achar algo que pudesse ser explorado de forma simples. Neste caso, se o usuário navega em um site que possui o código e está com o steam aberto, ele esta vulneravel.
Gabriel: No momento já estou pesquisando falhas em um outro software, mas sem relações com o STEAM. E...Pera aí, eu trabalho aqui? Cadê meu salário, po? Haha.. Valeu aí. Abraços a todos =)
Comentários
#1 · LINUX!
· 18/05/2009 - 18:09
0:O
#2 · extreme[9] flash -KK-
· 18/05/2009 - 18:10
0foi boa a intenção do cara, pede pra ele fazer um anti-cheater bot agora po! hehae
#3 · SANTIAGO
· 18/05/2009 - 18:13
0#2
#4 · deh
· 18/05/2009 - 18:21
0#2
#5 · -gORDOx-
· 18/05/2009 - 18:22
0#2
#6 · gu1nho
· 18/05/2009 - 18:22
0#2
#7 · pokerw-
· 18/05/2009 - 18:24
0soh falta o anti-xit
#8 · ehl
· 18/05/2009 - 18:24
0nego nao ta nem ai, rebenta essa *** ai si ***
#9 · maegz- of TeamPlay
· 18/05/2009 - 18:30
0#2
acho que ele trabalha como corretor de falhas de sistema de bugs, esse tipo de trabalho eh geralmete feito por pessoas q trabalham em bancos ou empresas que envolvam dinheiro protegendo de hackers que conseguem dinheiro robando pelos proprios erros de segurança de tais empresas.
Por exemplo teve 1 caso na minha cidade que um hacker robava 0,01 centavo de cada conta no banco por dia e depositava na conta dele.. somente 1 cliente resolveu ver como ele perdeu esse dinheiro e descobriu o hacker que foi logo preso.
vlw.
#10 · iMORTALLLL;*tz
· 18/05/2009 - 18:32
0#2
#8 asudhASUHdusaDU
#11 · Corazz
· 18/05/2009 - 18:37
0#2
#12 · hmL
· 18/05/2009 - 18:42
0agora q foi divulgado vai virar micarê total, neguin q eh da gringa e n tem acesso a essa noticia vai ser robado e nen sabe de onde...
HOIEAHOIUAEHUIOEAEA
e isso n acontece só na steampowered ñ, tem mto site ai q os cara roba leve e ngm sabe de onde vem e nen quando, internet eh isso...
#13 · gonn
· 18/05/2009 - 18:47
0#2
#14 · ryu
· 18/05/2009 - 18:53
0#2 eiita lele , e parabens pro gabriel xD
#15 · hey its mkd
· 18/05/2009 - 19:02
0#2
infelizmente a steam ta 1 *** e soh piorando *_*
#16 · Baoo
· 18/05/2009 - 19:04
0#2 :D
#17 · striker
· 18/05/2009 - 19:10
0#2
#18 · duckr0x
· 18/05/2009 - 19:13
0#2 meu querido flash, sistemas em html, php, mysql, java script é na área de sistemas para internet ou sistemas de segurança para internet...e pra fazer um anti-cheat ACHO que tem q manjar de c++ visual basic essas coisas...sei la ou algo parecido.. :D
#19 · lucasV
· 18/05/2009 - 19:15
0gabriel admiro mto seu trabalho pois ja era usuario do seu site, e admiro mto mais seu profissionalismo, c vc cobrasse da valve uns 5mil dolares ou 10 mil eles pagavam fácil pra vc mostrar o bug.
#20 · 7vv$@)
· 18/05/2009 - 19:24
0#2 CALA BOCA RUI CABEÇão :D
sz
#21 · Guizera
· 18/05/2009 - 19:31
0tens0
#22 · LCA kaio
· 18/05/2009 - 19:32
0karalho que ***, #2
#23 · pipoca www.amazonclub.com.br
· 18/05/2009 - 20:12
0#2 :D:D:D
#24 · lucAz-.-
· 18/05/2009 - 20:12
0#8 ? big lol
HEAUIEUIAHUIEAUIEAIAEIHAEUIAHEIHEAEIUHUEIAH
#25 · VIT9
· 18/05/2009 - 20:12
0Conhecimento não é crime, apenas você é responsavel pelo seus atos.
#26 · Lxr
· 18/05/2009 - 20:19
0pato *** sim
aieouaoeuaoiue
boa drzx
#27 · reaL420
· 18/05/2009 - 20:37
0cada dia que passa, ta de mal a pior :/
#28 · quitted
· 18/05/2009 - 20:37
0#2
steam lixo
pode desistir de cs... @net
#29 · b1da
· 18/05/2009 - 20:41
0alguem posta essa noticia pros gringo
#30 · pedrao
· 18/05/2009 - 20:49
0ta i agora eles vao roba meu cartao de credito?
#31 · guiNho
· 18/05/2009 - 20:49
0alguem posta essa noticia pros gringo [2]
Esse post lá no HLTV.org renderia bastante...
#32 · ekr
· 18/05/2009 - 21:08
0#2
#33 · SWIFTZAO` V> SIBERIAV2
· 18/05/2009 - 21:09
0#2
#34 · teleton tds1!!! <VENDO>
· 18/05/2009 - 21:24
0ajeita o 1.6 que já ta bom.
#35 · dfgfdgfdgfd
· 18/05/2009 - 21:33
0#2
#36 · flaviok
· 18/05/2009 - 21:42
0cada dia q passa mais *** fica :/
#37 · mAradona
· 18/05/2009 - 22:57
0#2
alguem posta essa noticia pros gringo [3]
Esse post lá no HLTV.org renderia bastante...
#38 · will
· 18/05/2009 - 23:32
0prende os caras !
#39 ·
· 19/05/2009 - 00:28
0o cara da 1 noticia do site nao se passao 2 comentarios
e la vem alguem fala
PO MEU MANDA ELE FAZE UM ANTI CHEATER
internet ja era memo se pa auhhauuhahuhaua
encare como 1 mod by pinarel
#40 · Poder da Mandioca
· 19/05/2009 - 01:29
0tenso
#41 · moiih
· 19/05/2009 - 02:21
0Comecei a mecher com xss brincando com o orkut a alguns anos atras,
pra alguns parece coisa boba fazer isso no orkut, porem lembrem que ele tem base na gigantesca google, e essa falha na steam ele não foi o primeiro a descobri, tem 1 forum america (só para assinantes) que relatou esse bug,
eu sabia como funcionava, só não sabia como explorar ele :S
- corrigindo 1 ano, não desde 02/09
#42 · TP | FrangO
· 19/05/2009 - 07:52
0Essa valve só ta dando vacilo ultimamente, tao realmente cagando bostão
#43 · Pedr0
· 19/05/2009 - 09:05
0toda grande empresa tem uma grande falha, intão eles não tao ligando mt pra isso creio eu
#44 · victor AEL
· 19/05/2009 - 09:20
0#43 seu pensamento é muito bom.
#45 · moiih
· 19/05/2009 - 10:00
0Só neste ano é a segunda maior falha, derão 1 preju enorme pra LIVE da Microsoft ea Rockstars, onde eles estavam dando 1 CD-KEY de 1 jogo demo da LIVE que ativava FULL o GTA-Online.
muito vacilo ta dando a valve, se continua assim logo logo estarão mal...
#46 · papao
· 19/05/2009 - 11:06
0Inda bem qe so pobre e nao tenho como compra nda pela internet :s
2# concordo :D
#47 · xAN ^
· 19/05/2009 - 11:37
0aff a steam uns tempo pra ka ta *** Viu! --'
#48 · jpas
· 21/05/2009 - 06:30
0#2