GameBack

Un’enorme falla nella sicurezza di Steam è stata risolta

Come riportato da VG24/7, negli scorsi giorni si è verificata una terribile ed imbarazzante falla nella sicurezza di Steam, motivo per cui svariati utenti si sono divertiti a loggare negli account altrui, con intenzioni più o meno buone.

Il problema ora è stato risolto, ma l’entità del fatto resta sorprendente.

 

Quando si cerca di eseguire il login ad un account e si seleziona l’opzione “Ho dimenticato la password”, il sistema invia una email contenente un codice di sicurezza all’indirizzo di posta collegato a quell’account. In questo modo, solo chi ha accesso all’email designata può modificare la password di un account.

Il problema è che, per ragioni ignote, lo scorso weekend questo passaggio fondamentale veniva semplicemente saltato: dopo avere richiesto di cambiare la password di un account, anche prima di avere eseguito il login, si poteva semplicemente cliccare “avanti” e procedere senza copiare il codice di sicurezza inviato per mail.

 

L’entità di eventuali danni non è ancora ben chiara, ma considerati altri strumenti di sicurezza accessori di Steam (dopo avere cambiato password, per esempio, gli scambi vengono bloccati per un certo periodo di tempo) sembra che il grosso degli utenti coinvolti possa risolvere le cose semplicemente cambiando a sua volta la password tramite l’autenticazione per email, che adesso funziona come dovrebbe. È anche bene notare che l’exploit permetteva a chiunque di cambiare la vostra password, ma non di visualizzare la vecchia, che quindi dovrebbe essere ancora sicura.

In ogni caso, considerata le dimensioni della piattaforma interessata e la facilità di intrusione, questa resta sicuramente una delle falle di sicurezza più ingenue e gravi della storia dell’informatica. Vedremo se Valve avrà qualcosa da riferire in merito, o se (come al solito) continuerà ad operare nel più totale silenzio stampa.