English translation below:
How did the exploit happen? Before someone else posts nonsense. The exploit is easier than you think. It has nothing to do with databases/MongoDB or any of the other nonsense people are saying out there (senior developers).
This is incredibly stupid, and a tremendous security flaw on BSG's part. No data was compromised, no data was exposed, nothing was exposed. This is just a login bypass.
Problem description: The authentication system via Steam (OpenID) does not appear to be correctly validating the digital signature (openid.sig) or the response_nonce returned by the Steam servers.
This allows an attacker to impersonate any user account simply by manually modifying the openid.identity and openid.claimed_id parameters in the return URL.
Affected points:
URL: link
Vulnerable parameter: openid.identity / openid.claimed_id
Steps to reproduce (Proof of concept):
Start a legitimate login process with Steam.
Before the profile page loads, intercept or modify the Steam response URL.
Change the SteamID64 at the end of the openid.claimed_id and openid.identity parameters to that of any other user. The server grants access to the profile of the user whose ID was entered, without having gone through the actual login process for that account.
The problem is how incompetent BSG is. They can't be making these kinds of mistakes as a multi-million dollar company. Leaving endpoints exposed, not verifying on the backend.
Yes, all affected users had Steam linked. Including Insane (agus).
Pasted Spanish
¿Como ocurrio el exploit? Antes que otro postee basura. El exploit es mas facil de lo que se piensa. No tiene nada que ver con database / mongodb y cualquier boludes que dice la gente por ahi (Developers seniors). Abro hilo #1/?
Esto es muy estupido, y una falta de seguridad tremenda de la parte de BSG. No se comprometio ningun dato, no se expuso ningun dato, no fue expuesto nada. Esto es solo un bypass al login.
Descripción del problema: El sistema de autenticación a través de Steam (OpenID) no parece estar validando correctamente la firma digital (openid.sig) ni el response_nonce devuelto por los servidores de Steam
Esto permite que un atacante pueda suplantar cualquier cuenta de usuario simplemente modificando manualmente el parámetro openid.identity y openid.claimed_id en la URL de retorno.
Puntos afectados:
URL: profile.tarkov.com/login/ste… Parámetro vulnerable: openid.identity / openid.claimed_id
Pasos para reproducir (Prueba de concepto): Iniciar un proceso de login legítimo con Steam. Antes de que la página cargue el perfil, interceptar o modificar la URL de respuesta de Steam.
Cambiar la SteamID64 al final de los parámetros openid.claimed_id y openid.identity por la de cualquier otro usuario. El servidor concede acceso al perfil del usuario cuya ID fue introducida, sin haber pasado por el proceso de login real de esa cuenta.
El problema es lo idiotas que son los de BSG. No pueden hacer este tipo de trabajos siendo una empresa multimillonaria Dejando endpoints expuestos, no verificando en el backend.
Si, todos los usuarios afectados tenian vinculado steam. Incluso Insane (agus)
This happened again years before they even started using steam so I think they’re just bad at this kind of thing