Abo
  • IT-Karriere:

Hackerone versuchte Veröffentlichung von Bug zu verhindern

Der Entdecker der Lücke, Vasily Kravets, meldete diese über das Bugbounty-Programm des Steam-Herstellers Valve auf der Plattform Hackerone. Dort wurde der Fehlerbericht nach kurzer Zeit von einem Mitarbeiter der Plattform als "nicht zutreffend" geschlossen.

Stellenmarkt
  1. Lidl Dienstleistung GmbH & Co. KG, Neckarsulm
  2. Computacenter AG & Co. oHG, München

Kravets versuchte daraufhin, einem Hackerone-Mitarbeiter den Fehler im Detail zu erläutern. Dieser konnte ihn so nachvollziehen. Doch einige Zeit später wurde der Bericht erneut als "nicht zutreffend" geschlossen. Zwei Begründungen wurden hierfür angegeben: Angriffe, bei denen man eine Datei auf dem System des Nutzers platziert oder Angriffe, die einen lokalen Zugriff auf das System erfordern, seien vom Programm von Valve ausgeschlossen.

Lokale Sicherheitslücken nicht Teil von Valves Bugbounty-Programm

Tatsächlich steht dies in der Beschreibung des Bugbounty-Programms von Valve. Faktisch schließt das Programm also sämtliche Sicherheitslücken, die die lokale Rechteverwaltung betreffen, komplett aus. Es dürfte den wenigsten Nutzern von Steam klar sein, dass sie sich durch eine Installation damit einverstanden erklären, dass die lokale Rechteverwaltung unter Windows plötzlich nutzlos ist.

Kravets kündigte daraufhin an, dass er die Details zu der Lücke öffentlich machen würde. Doch das wollte Hackerone verhindern. Ein Mitarbeiter teilte Kravets mit, dass es ihm nicht erlaubt sei, die Details zu der Lücke zu veröffentlichen. Kravets ignorierte diese Aufforderung. Am Ende seines Blogposts schreibt er noch, dass die vor wenigen Tagen veröffentlichte neueste Version von Steam weiterhin für die Sicherheitslücke anfällig ist.

Wir haben sowohl Hackerone als auch Valve kontaktiert und um eine Stellungnahme gebeten. Valve hat unsere Anfrage bislang nicht beantwortet. Hackerone erklärte, dass man die Details des Fehlers an Valve weitergereicht hatte und von dort das Feedback bekam, dass man den Bug für ungültig hält - mit Verweis auf den entsprechenden Passus im Bugbounty-Programm von Valve.

Hacker verstieß gegen "ethische Standards" von Hackerone

Weiterhin verweist Valve darauf, dass Kravets gegen die Teilnahmebedingungen des Bugbounty-Programms von Valve verstoßen habe, da er die Details der Lücke veröffentlicht habe. Dies sei ein Verstoß gegen die "ethischen Hacking-Standards" von Hackerone. Man werde den Fehlerbericht aber erneut prüfen.

Zudem, so Hackerone, habe man auch einen Passus in den Regeln, der es erlaubt, dass Personen, die Sicherheitslücken berichten, diese nach 180 Tagen veröffentlichen können, wenn man sich mit dem Sicherheitsteam des jeweiligen Bugbounty-Programms nicht auf einen Zeitplan zur Veröffentlichung einigen kann. Dieser widerspricht aber den Angaben im Bugbounty-Programm von Valve. Dort heißt es, dass man grundsätzlich nicht zustimme, dass Fehlerberichte, die als "nicht zutreffend" markiert wurden, veröffentlicht werden.

Der Vorfall wirft einige Fragen über die Rolle von Bugbounty-Programmen und von Plattformen wie Hackerone auf. Diese sollten idealerweise dazu dienen, Services und Software sicherer zu machen. In diesem Fall wurde aber offenbar versucht, mithilfe der Teilnahmebedingungen eines Bugbounty-Programms dafür zu sorgen, einen Sicherheitsforscher zum Schweigen zu bringen - weil Valve kein Interesse daran hatte, eine kritische Sicherheitslücke zu beheben.

Offenlegung: Der Autor dieses Artikels nutzt Hackerone selbst regelmäßig, um Sicherheitslücken an Firmen zu melden. Er hat dabei selbst schon ähnliche, wenngleich nicht ganz so drastische Erfahrungen gemacht.

Nachtrag vom 10. August 2019, 14:25 Uhr

Valve hat inzwischen reagiert und eine neue Beta-Version von Steam veröffentlicht, in der laut Ankündigung die Sicherheitslücke geschlossen wurde.

 Hackerone: Sicherheitslücke in Steam bleibt vorerst ungefixt
  1.  
  2. 1
  3. 2


Anzeige
Top-Angebote
  1. (u. a. mit Gaming-Monitoren, z. B. Acer ED323QURA Curved/WQHD/144 Hz für 299€ statt 379€ im...
  2. (u. a. Apple iPhone 6s Plus 32 GB für 299€ und 128 GB für 449€ - Bestpreise!)
  3. (u. a. Nikon D5600 Kit 18-55 mm + Tasche + 16 GB für 444€ statt 525€ ohne Tasche und...
  4. (heute u. a. iRobot Roomba 960 für 399€ statt ca. 460€ im Vergleich)

Day 12. Aug 2019 / Themenstart

Wenn das noch Beta ist dann nicht ;)

Day 12. Aug 2019 / Themenstart

Jucken wird es sie schon. Auch wenn hier Valve die Schuld hat wird Microsoft dennoch ein...

ZeldaFreak 12. Aug 2019 / Themenstart

Epic als ernstzunehmender Konkurrent? Epic versucht hier mit der Brechstange sich auf...

evilk666 11. Aug 2019 / Themenstart

Da lehnt man die "Teilnahme" am Bugbounty-Programm insofern ab, dass er in jedem Fall...

Frostwind 10. Aug 2019 / Themenstart

cat %system32%\calc.exe > %programfiles%\steam\bin\steamservice.exe Reboot Log on, start...

Kommentieren


Folgen Sie uns
       


Linux für Gaming installieren - Tutorial

Die Linux-Distribution Manjaro eignet sich gut für Spiele - wir erklären im Video wie man sie installiert.

Linux für Gaming installieren - Tutorial Video aufrufen
Google Game Builder ausprobiert: Spieldesign mit Karten statt Quellcode
Google Game Builder ausprobiert
Spieldesign mit Karten statt Quellcode

Bitte Bild wackeln lassen und dann eine Explosion: Solche Befehle als Reaktion auf Ereignisse lassen sich im Game Builder relativ einfach verketten. Der Spieleeditor des Google-Entwicklerteams Area 120 ist nicht nur für Einsteiger gedacht - sondern auch für Profis, etwa für die Erstellung von Prototypen.
Von Peter Steinlechner

  1. Spielebranche Immer weniger wollen Spiele in Deutschland entwickeln
  2. Aus dem Verlag Neue Herausforderungen für Spieler und Entwickler

Nachhaltigkeit: Jute im Plastik
Nachhaltigkeit
Jute im Plastik

Baustoff- und Autohersteller nutzen sie zunehmend, doch etabliert sind Verbundwerkstoffe mit Naturfasern noch lange nicht. Dabei gibt es gute Gründe, sie einzusetzen, Umweltschutz ist nur einer von vielen.
Ein Bericht von Werner Pluta

  1. Autos Elektro, Brennstoffzelle oder Diesel?
  2. Energie Wo die Wasserstoffqualität getestet wird
  3. Energiespeicher Heiße Steine sind effizienter als Brennstoffzellen

Galaxy Note 10 im Hands on: Samsungs Stift-Smartphone kommt in zwei Größen
Galaxy Note 10 im Hands on
Samsungs Stift-Smartphone kommt in zwei Größen

Samsung hat sein neues Android-Smartphone Galaxy Note 10 präsentiert - erstmals in zwei Versionen: Die Plus-Variante hat ein größeres Display und einen größeren Akku sowie eine zusätzliche ToF-Kamera. Günstig sind sie nicht.
Ein Hands on von Tobias Költzsch

  1. Werbung Samsung bewirbt Galaxy Note 10 auf seinen Smartphones
  2. Smartphone Samsung präsentiert Kamerasensor mit 108 Megapixeln
  3. Galaxy Note 10 Samsung korrigiert Falschinformation zum Edelstahlgehäuse

    •  /