Hackerone versuchte Veröffentlichung von Bug zu verhindern

Der Entdecker der Lücke, Vasily Kravets, meldete diese über das Bugbounty-Programm des Steam-Herstellers Valve auf der Plattform Hackerone. Dort wurde der Fehlerbericht nach kurzer Zeit von einem Mitarbeiter der Plattform als "nicht zutreffend" geschlossen.

Kravets versuchte daraufhin, einem Hackerone-Mitarbeiter den Fehler im Detail zu erläutern. Dieser konnte ihn so nachvollziehen. Doch einige Zeit später wurde der Bericht erneut als "nicht zutreffend" geschlossen. Zwei Begründungen wurden hierfür angegeben: Angriffe, bei denen man eine Datei auf dem System des Nutzers platziert oder Angriffe, die einen lokalen Zugriff auf das System erfordern, seien vom Programm von Valve ausgeschlossen.

Lokale Sicherheitslücken nicht Teil von Valves Bugbounty-Programm

Tatsächlich steht dies in der Beschreibung des Bugbounty-Programms von Valve. Faktisch schließt das Programm also sämtliche Sicherheitslücken, die die lokale Rechteverwaltung betreffen, komplett aus. Es dürfte den wenigsten Nutzern von Steam klar sein, dass sie sich durch eine Installation damit einverstanden erklären, dass die lokale Rechteverwaltung unter Windows plötzlich nutzlos ist.

Kravets kündigte daraufhin an, dass er die Details zu der Lücke öffentlich machen würde. Doch das wollte Hackerone verhindern. Ein Mitarbeiter teilte Kravets mit, dass es ihm nicht erlaubt sei, die Details zu der Lücke zu veröffentlichen. Kravets ignorierte diese Aufforderung. Am Ende seines Blogposts schreibt er noch, dass die vor wenigen Tagen veröffentlichte neueste Version von Steam weiterhin für die Sicherheitslücke anfällig ist.

Wir haben sowohl Hackerone als auch Valve kontaktiert und um eine Stellungnahme gebeten. Valve hat unsere Anfrage bislang nicht beantwortet. Hackerone erklärte, dass man die Details des Fehlers an Valve weitergereicht hatte und von dort das Feedback bekam, dass man den Bug für ungültig hält - mit Verweis auf den entsprechenden Passus im Bugbounty-Programm von Valve.

Hacker verstieß gegen "ethische Standards" von Hackerone

Weiterhin verweist Valve darauf, dass Kravets gegen die Teilnahmebedingungen des Bugbounty-Programms von Valve verstoßen habe, da er die Details der Lücke veröffentlicht habe. Dies sei ein Verstoß gegen die "ethischen Hacking-Standards" von Hackerone. Man werde den Fehlerbericht aber erneut prüfen.

Zudem, so Hackerone, habe man auch einen Passus in den Regeln, der es erlaubt, dass Personen, die Sicherheitslücken berichten, diese nach 180 Tagen veröffentlichen können, wenn man sich mit dem Sicherheitsteam des jeweiligen Bugbounty-Programms nicht auf einen Zeitplan zur Veröffentlichung einigen kann. Dieser widerspricht aber den Angaben im Bugbounty-Programm von Valve. Dort heißt es, dass man grundsätzlich nicht zustimme, dass Fehlerberichte, die als "nicht zutreffend" markiert wurden, veröffentlicht werden.

Der Vorfall wirft einige Fragen über die Rolle von Bugbounty-Programmen und von Plattformen wie Hackerone auf. Diese sollten idealerweise dazu dienen, Services und Software sicherer zu machen. In diesem Fall wurde aber offenbar versucht, mithilfe der Teilnahmebedingungen eines Bugbounty-Programms dafür zu sorgen, einen Sicherheitsforscher zum Schweigen zu bringen - weil Valve kein Interesse daran hatte, eine kritische Sicherheitslücke zu beheben.

Offenlegung: Der Autor dieses Artikels nutzt Hackerone selbst regelmäßig, um Sicherheitslücken an Firmen zu melden. Er hat dabei selbst schon ähnliche, wenngleich nicht ganz so drastische Erfahrungen gemacht.

Nachtrag vom 10. August 2019, 14:25 Uhr

Valve hat inzwischen reagiert und eine neue Beta-Version von Steam veröffentlicht, in der laut Ankündigung die Sicherheitslücke geschlossen wurde.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Hackerone: Sicherheitslücke in Steam bleibt vorerst ungefixt
  1.  
  2. 1
  3. 2


Day 12. Aug 2019

Wenn das noch Beta ist dann nicht ;)

Day 12. Aug 2019

Jucken wird es sie schon. Auch wenn hier Valve die Schuld hat wird Microsoft dennoch ein...

Anonymer Nutzer 12. Aug 2019

Epic als ernstzunehmender Konkurrent? Epic versucht hier mit der Brechstange sich auf...

evilk666 11. Aug 2019

Da lehnt man die "Teilnahme" am Bugbounty-Programm insofern ab, dass er in jedem Fall...



Aktuell auf der Startseite von Golem.de
Ukrainekrieg
Palantir für die militärische Zielauswahl verantwortlich

Das US-Unternehmen Palantir ist mit Software am Kriegsgeschehen in der Ukraine beteiligt. Auch die hiesige Polizei setzt Software des Unternehmens ein.

Ukrainekrieg: Palantir für die militärische Zielauswahl verantwortlich
Artikel
  1. Grüner Wasserstoff: Neues Verfahren erzeugt Wasserstoff aus Salzwasser
    Grüner Wasserstoff
    Neues Verfahren erzeugt Wasserstoff aus Salzwasser

    Wo es Sonne gibt, um Wasserstoff zu erzeugen, fehlt es oft an Süßwasser. Ein neu entwickelter Elektrolyseur kann das im Überfluss vorhandene Meerwasser verarbeiten.

  2. Streaming: Netflix streicht Funktion aus drei Abomodellen
    Streaming
    Netflix streicht Funktion aus drei Abomodellen

    Künftig gibt es 3D-Raumklang alias Spatial Audio nur noch im teuersten Netflix-Abo. Wirbel entfacht eine Filmveröffentlichung in Japan.

  3. Software: Wie Entwickler Fehler aufspüren - oder gleich vermeiden
    Software
    Wie Entwickler Fehler aufspüren - oder gleich vermeiden

    Es gibt zahlreiche Arten von Softwarefehlern. Wir erklären, welche Testverfahren sie am zuverlässigsten finden und welche Methoden es gibt, um ihnen vorzubeugen.
    Von Michael Bröde

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Samsung G5 Curved 27" WQHD 260,53€ • Graka-Preisrutsch bei Mindfactory • Samsung Galaxy S23 jetzt vorbestellbar • Philips Hue 3x E27 + Hue Bridge -57% • PCGH Cyber Week • Dead Space PS5 -16% • PNY RTX 4080 1.269€ • Bis 77% Rabatt auf Fernseher • Roccat Kone Pro -56% [Werbung]
    •  /