Fallo de seguridad en PokerStars.es

PokerStars nos envía un comunicado sobre el fallo de seguridad reportado en Poker Red el pasado martes.

El usuario Didac de EducaPoker ha reportado en el foro un fallo de seguridad que afecta a los clientes de Windows y Mac de PokerStars.es.

El fallo consiste en que el cliente de la sala de la pica roja almacena los datos de usuario/contraseña de nuestra cuenta en la memoria del ordenador sin encriptar, por lo que estaría a disposición de cualquiera con unos conocimientos mínimos en seguridad informática para recuperarla. En la prueba que hemos realizado, también hemos encontrado los datos personales del usuario, incluyendo nombre, dirección, DNI, y correo electrónico.

El fallo no es crítico porque para poder acceder a ella se necesitaría acceso al ordenador ejecutando el cliente y la contraseña de administrador. En Windows es un poco más grave porque la contraseña de Windows únicamente la solicita si tienes el control de cuentas activo UAC, funcionalidad que por defecto muchos usuarios tienen desactivada.

Es un fallo de seguridad grave, pero creemos que el riesgo de exploit es bajo. La mayor amenaza ahora mismo es que se diseñe y difunda algún virus aprovechando esta vulnerabilidad, o que ordenadores ya infectados por algún troyano sean pirateados. 

Hemos informado a PokerStars del problema en cuanto hemos descubierto el post y no creemos que tarden mucho en solucionarlo. Mientras tanto, os recomendamos que seáis precavidos con quién tiene acceso a vuestro ordenador, y en lo posible, siempre es recomendable solicitar el token de seguridad RSA de PokerStars.