Fabio Baccaglioni



Probablemente durante navidad alguno de ustedes entró a Steam y se encontró con una desagradable sorpresa, al ir al perfil, para comprar un juego o simplemente chequear algo, los datos que allí aparecían eran de otra persona.

Básicamente estabas teniendo acceso a los datos de cualquier otro usuario incluyendo sus compras, dirección, email, etc. Esta brecha de seguridad parece estar ya solucionada pero sembró el pánico durante algunas horas ¿Tus juegos estan en riesgo? ¿Tu tarjeta? ¿Tu cuenta de Paypal?

Al parecer por los distintos análisis que vengo leyendo no. Lo que veías era la versión cacheada de la página de steam, el problema es que Varnish, el entorno utilizado para cachear el contenido, terminaba mostrándole lo que había reservado para otro a cualquier visitante, cada cierta cantidad de tiempo renovaba caché, volvía a generar una con datos de otro usuario y nuevamente lo mismo, sin validar quien lo estaba viendo.

Para poder realizar cambios la situación es distinta, no, no se puede comprar un juego con las credenciales de otro usuario, así que en teoría las cuentas no estaban comprometidas para una acción, sólo para visualización.

Si estan algo paranoides pueden cambiar inmediatamente su password o directamente desvincular tarjetas y paypal, pero según se informa esos datos no se comprometieron, algunos ya lo llaman el Steam Winter Fail pero como no hay reportes de ninguna tarjeta robada ni juego comprado con dinero ajeno parece que tan sólo fue eso, caché mal validado mostrándole tus datos personales a perfectos desconocidos.

Un sistema de caché puede ser muy útil para no gastar tanto procesador en el servidor, pero si no se valida, sucede esto!

Más data en Kotaku, Valvetime y los foros de Steam/

Comentarios

Deje su comentario:

(comentarios ofensivos o que no hagan al enriquecimiento del post serán borrados/editados por el administrador sin previo aviso)

Security Image

Negrita Cursiva Imagen Enlace