STEAM

Início > STEAM > Steam: Problemas no e-commerce
Steam: Problemas no e-commerce
  • por

Steam: Problemas no e-commerce


Você já comprou algum jogo pela loja online da Steam? Sim? Cuidado então, seus dados podem ser pegos a qualquer momento por pessoas maliciosas

Um desenvolvedor de sistemas do Brasil descobriu uma falha grava no e-commerce da Steam, onde seus dados poderão estar expostos às pessoas maliciosas e causar dores de cabeça para você. Veja abaixo um pequeno resumo do "erro" da Valve.

Abaixo, irei exibir detalhes da falha que descobri no início deste mês no software Steam, da Valve Corporation. Trata-se de um dos softwares mais utilizados para distribuição de games para PC pela Internet. Recomendo que faça o download do relatório completo, pois o conteúdo deste post é apenas um resumo do trabalho publicado em pdf.

Download do relatório completo da falha em PDF > Clique Aqui.

Assista o Vídeo com a demonstração e a explicação da falha > Clique Aqui

Esta falha ainda não foi corrigida. Relatei-a para a VALVE no dia 10 de maio de 2009, e até o momento (18 de maio) não houve NENHUMA resposta.

Descrição da falha:

Um site na internet pode forçar, pelo navegador da vítima, a execução do Steam Protocol (steam://) fazendo com que, na aba Steam Store, seja aberto um link vulnerável a cross-site script da steam store (http://store.steampowered.com). É possível executar Java Script, e com isso obter o cookie do usuário, os aplicativos associados à conta, ou redirecionar a outra pagina sem que seja mostrado ao usuário que ele não se encontra mais na steam store (phishing).

VEJA MAIS CLICANDO AQUI.


Veja uma mini entrevista da TEAMPLAY com Gabriel Lima;

Gabriel, qual foi o seu objetivo para descobrir esse bug?

Gabriel: Bom... O foco dos meus estudos na área de segurança é a análise de aplicativos que renderizem HTML, ou seja, que são (ou tem funções semelhantes a) navegadores. O steam, neste caso, usa o Internet Explorer na aba "Store", então a primeira coisa que quis analisar foi esta parte do programa. Quis, também, achar algo que pudesse ser explorado de forma simples. Neste caso, se o usuário navega em um site que possui o código e está com o steam aberto, ele esta vulneravel.

Agora, qual foi o seu sentimento ao não ser "atendido" pelo pessoal da Steam? Já que com esse "ataque" podemos obter dados de todos os compradores do site correto?

Gabriel: Hoje há uma séria discussão sobre "WhiteHats" e os "BlackHats". Whitehats são aqueles que relatam a falha aos desenvolvedores do programa. Neste caso, antes de publica-la em meu site, relatei aos desenvolvedores da steam, que me ignoraram. O sentimento, obviamente, é negativo, já que tive a boa intenção (sem exigir recompensas) de relatar a falha. A falha é sim grave, mas parece que a STEAM (ou a VALVE) não possui estrutura para receber tais relatos. Uma prova disso, é que não encontrei nem no site da STEAM e nem no site da VALVE um e-mail ou forma de contato específica para estes casos.


Bom, chegamos ao fim da mini entrevista, e gostaria de saber: Você vai continuar a procura de erros na Steam ou vai partir para uma nova empreeitada? E como se sente trabalhando no e-sport como Técnico de Segurança da TeamPlay?

Gabriel: No momento já estou pesquisando falhas em um outro software, mas sem relações com o STEAM. E...Pera aí, eu trabalho aqui? Cadê meu salário, po? Haha.. Valeu aí. Abraços a todos =)

Comentários

Mais Notícias

Últimas STEAM!