steam-password-reset



Según Steam, una bug en el login de los usuarios al servicio que dejó expuestas las cuentas para que cualquiera, con solo conocer la dirección de email del usuario, pudiera hacerse con su cuenta, solo afectó a un pequeño grupo de usuarios entre el 21 y 25 de Julio y apenas fue conocido por Steam, el mismo fue arreglado.

La falla que de por sí es una de las peores descubiertas en Steam, fue descubierta este fin de semana que acaba de finalizar.  La falla se podía explotar con solo requerir restablecer la contraseña del usuario, ir a la página especial de restablecimiento de contraseñas y click en el botón de OK.

Normalmente cuando alguien requiere restablecer su contraseña, recibe un código por email para ingresar en esa página para verificar la identidad del usuario.  El bug permitía que si el campo de código a ingresar estaba vacío, también validaba la identidad del usuario o el atacante.

Fuente | MasterHerald
Vía | Kotaku