Ignorierte und abgewiesene Steam-Lücke: Valve muss Fehler zugeben

Hacker, Tastatur, Maus Bildquelle: Davide Restivo / Flickr
Steam-Betreiber Valve ist ein vielen sympathisches Unternehmen, doch vor kurzem büßte man Sympathien ein, vor allem bei Sicherheits­experten. Denn Valve hat eine unglückliche Rolle bei seinem Bug Bounty-Programm gespielt und die Entdeckung einer Lücke des russischen Security-Forschers Vasily Kravets de facto ignoriert. Die genannte Bug Bounty-Initiativen dienen dazu, "ethische" Hacker und Sicherheitsexperten für das Entdecken von Schwachstellen und Exploits zu belohnen. Denn für die IT-Firmen sind solche "Kopfgelder" letztlich viel günstiger als später mit den Folgen von Hacks kämpfen zu müssen.

Doch die Berichte von Kravets zu Steam-Schwachstellen wurden zurückgewiesen, weil Valve der Ansicht war, dass sie außerhalb des Programmes lagen. Daraufhin beschloss der verärgerte Kravets, Bug-Reports nicht länger über die HackerOne-Initiative einzureichen, sondern sie zu veröffentlichen, ohne dem Unternehmen die Chance zu geben, zuvor etwas dagegen zu tun (Veröffentlichungen geschlossener Lücken sind hingegen üblich).

Nostra culpa

Kravets gab eine zweite Lücke frei und Valve blieb nichts anderes übrig, als diese zu patchen und vor allem sich zu entschuldigen (via PC Gamer): "Uns ist bewusst, dass der Sicherheitsforscher, der die Bugs entdeckt hat, fälschlicherweise beim HackerOne-Bug-Bounty-Programm abgewiesen wurde (…) Das war ein Fehler."

Valve erklärte, dass die Regeln des Programms lediglich vorsahen, dass Steam angewiesen werden sollte, zuvor auf dem Rechner installierte Malware auf dem Nutzer-Rechner als lokaler User zu starten. Diese Richtlinie sei aber fehlinterpretiert worden und so wurde ein schwerwiegenderer Angriff, der auch "Local Privilege Escalation" über Steam ausführte, ausgeschlossen.

Valve schreibt schließlich, dass man die Regeln mittlerweile angepasst habe, damit derartige Reports per HackerOne erfasst werden. Zum Status von Kravets hat sich das Unternehmen bislang nicht geäußert. Hacker, Tastatur, Maus Hacker, Tastatur, Maus Davide Restivo / Flickr
Mehr zum Thema: Steam
Diese Nachricht empfehlen
Kommentieren0


Kommentar abgeben Netiquette beachten!
Einloggen

Jetzt als Amazon Blitzangebot

Ab 17:25 Uhr KreuzlinienlaserKreuzlinienlaser
Original Amazon-Preis
34,99
Im Preisvergleich ab
?
Blitzangebot-Preis
27,19
Ersparnis zu Amazon 22% oder 7,80

Tipp einsenden