Ignorierte und abgewiesene Steam-Lücke:
Valve muss Fehler zugeben

Steam-Betreiber Valve ist ein vielen sympathisches Unternehmen, doch vor kurzem büßte man Sympathien ein, vor allem bei Sicherheits­experten. Denn Valve hat eine unglückliche Rolle bei seinem Bug Bounty-Programm gespielt und die Entdeckung einer Lücke des russischen Security-Forschers Vasily Kravets de facto ignoriert.
Die genannte Bug Bounty-Initiativen dienen dazu, "ethische" Hacker und Sicherheitsexperten für das Entdecken von Schwachstellen und Exploits zu belohnen. Denn für die IT-Firmen sind solche "Kopfgelder" letztlich viel günstiger als später mit den Folgen von Hacks kämpfen zu müssen.

Doch die Berichte von Kravets zu Steam-Schwachstellen wurden zurückgewiesen, weil Valve der Ansicht war, dass sie außerhalb des Programmes lagen. Daraufhin beschloss der verärgerte Kravets, Bug-Reports nicht länger über die HackerOne-Initiative einzureichen, sondern sie zu veröffentlichen, ohne dem Unternehmen die Chance zu geben, zuvor etwas dagegen zu tun (Veröffentlichungen geschlossener Lücken sind hingegen üblich).

Nostra culpa

Kravets gab eine zweite Lücke frei und Valve blieb nichts anderes übrig, als diese zu patchen und vor allem sich zu entschuldigen (via PC Gamer): "Uns ist bewusst, dass der Sicherheitsforscher, der die Bugs entdeckt hat, fälschlicherweise beim HackerOne-Bug-Bounty-Programm abgewiesen wurde (…) Das war ein Fehler."

Valve erklärte, dass die Regeln des Programms lediglich vorsahen, dass Steam angewiesen werden sollte, zuvor auf dem Rechner installierte Malware auf dem Nutzer-Rechner als lokaler User zu starten. Diese Richtlinie sei aber fehlinterpretiert worden und so wurde ein schwerwiegenderer Angriff, der auch "Local Privilege Escalation" über Steam ausführte, ausgeschlossen.

Valve schreibt schließlich, dass man die Regeln mittlerweile angepasst habe, damit derartige Reports per HackerOne erfasst werden. Zum Status von Kravets hat sich das Unternehmen bislang nicht geäußert.


Videos zum Thema Videospiele
Jetzt als Amazon Blitzangebot
Ab 07:20 Uhr Doqaus Bluetooth Kopfhörer Over EarDoqaus Bluetooth Kopfhörer Over Ear
Original Amazon-Preis
38,99
Im Preisvergleich ab
43,99
Blitzangebot-Preis
34,99
Ersparnis zu Amazon 10% oder 4
Im WinFuture Preisvergleich
Tipp einsenden
❤ WinFuture unterstützen
Sie wollen online einkaufen? Dann nutzen Sie bitte einen der folgenden Links, um WinFuture zu unterstützen: Vielen Dank!