Hackerone versuchte Veröffentlichung von Bug zu verhindern

Der Entdecker der Lücke, Vasily Kravets, meldete diese über das Bugbounty-Programm des Steam-Herstellers Valve auf der Plattform Hackerone. Dort wurde der Fehlerbericht nach kurzer Zeit von einem Mitarbeiter der Plattform als "nicht zutreffend" geschlossen.

Stellenmarkt
  1. Senior Softwareentwickler (m/w/d) in der Anwendungsentwicklung
    Allianz Technology SE, Unterföhring
  2. Senior Solution Architekt - Netzwerk (m/w/d)
    operational services GmbH & Co. KG, Frankfurt am Main, Berlin, Hamburg, München
Detailsuche

Kravets versuchte daraufhin, einem Hackerone-Mitarbeiter den Fehler im Detail zu erläutern. Dieser konnte ihn so nachvollziehen. Doch einige Zeit später wurde der Bericht erneut als "nicht zutreffend" geschlossen. Zwei Begründungen wurden hierfür angegeben: Angriffe, bei denen man eine Datei auf dem System des Nutzers platziert oder Angriffe, die einen lokalen Zugriff auf das System erfordern, seien vom Programm von Valve ausgeschlossen.

Lokale Sicherheitslücken nicht Teil von Valves Bugbounty-Programm

Tatsächlich steht dies in der Beschreibung des Bugbounty-Programms von Valve. Faktisch schließt das Programm also sämtliche Sicherheitslücken, die die lokale Rechteverwaltung betreffen, komplett aus. Es dürfte den wenigsten Nutzern von Steam klar sein, dass sie sich durch eine Installation damit einverstanden erklären, dass die lokale Rechteverwaltung unter Windows plötzlich nutzlos ist.

Kravets kündigte daraufhin an, dass er die Details zu der Lücke öffentlich machen würde. Doch das wollte Hackerone verhindern. Ein Mitarbeiter teilte Kravets mit, dass es ihm nicht erlaubt sei, die Details zu der Lücke zu veröffentlichen. Kravets ignorierte diese Aufforderung. Am Ende seines Blogposts schreibt er noch, dass die vor wenigen Tagen veröffentlichte neueste Version von Steam weiterhin für die Sicherheitslücke anfällig ist.

Golem Akademie
  1. Webentwicklung mit React and Typescript: virtueller Fünf-Halbtage-Workshop
  2. Jira für Anwender: virtueller Ein-Tages-Workshop
    4. Februar 2022, virtuell
Weitere IT-Trainings

Wir haben sowohl Hackerone als auch Valve kontaktiert und um eine Stellungnahme gebeten. Valve hat unsere Anfrage bislang nicht beantwortet. Hackerone erklärte, dass man die Details des Fehlers an Valve weitergereicht hatte und von dort das Feedback bekam, dass man den Bug für ungültig hält - mit Verweis auf den entsprechenden Passus im Bugbounty-Programm von Valve.

Hacker verstieß gegen "ethische Standards" von Hackerone

Weiterhin verweist Valve darauf, dass Kravets gegen die Teilnahmebedingungen des Bugbounty-Programms von Valve verstoßen habe, da er die Details der Lücke veröffentlicht habe. Dies sei ein Verstoß gegen die "ethischen Hacking-Standards" von Hackerone. Man werde den Fehlerbericht aber erneut prüfen.

Zudem, so Hackerone, habe man auch einen Passus in den Regeln, der es erlaubt, dass Personen, die Sicherheitslücken berichten, diese nach 180 Tagen veröffentlichen können, wenn man sich mit dem Sicherheitsteam des jeweiligen Bugbounty-Programms nicht auf einen Zeitplan zur Veröffentlichung einigen kann. Dieser widerspricht aber den Angaben im Bugbounty-Programm von Valve. Dort heißt es, dass man grundsätzlich nicht zustimme, dass Fehlerberichte, die als "nicht zutreffend" markiert wurden, veröffentlicht werden.

Der Vorfall wirft einige Fragen über die Rolle von Bugbounty-Programmen und von Plattformen wie Hackerone auf. Diese sollten idealerweise dazu dienen, Services und Software sicherer zu machen. In diesem Fall wurde aber offenbar versucht, mithilfe der Teilnahmebedingungen eines Bugbounty-Programms dafür zu sorgen, einen Sicherheitsforscher zum Schweigen zu bringen - weil Valve kein Interesse daran hatte, eine kritische Sicherheitslücke zu beheben.

Offenlegung: Der Autor dieses Artikels nutzt Hackerone selbst regelmäßig, um Sicherheitslücken an Firmen zu melden. Er hat dabei selbst schon ähnliche, wenngleich nicht ganz so drastische Erfahrungen gemacht.

Nachtrag vom 10. August 2019, 14:25 Uhr

Valve hat inzwischen reagiert und eine neue Beta-Version von Steam veröffentlicht, in der laut Ankündigung die Sicherheitslücke geschlossen wurde.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Hackerone: Sicherheitslücke in Steam bleibt vorerst ungefixt
  1.  
  2. 1
  3. 2


Day 12. Aug 2019

Wenn das noch Beta ist dann nicht ;)

Day 12. Aug 2019

Jucken wird es sie schon. Auch wenn hier Valve die Schuld hat wird Microsoft dennoch ein...

Anonymer Nutzer 12. Aug 2019

Epic als ernstzunehmender Konkurrent? Epic versucht hier mit der Brechstange sich auf...

evilk666 11. Aug 2019

Da lehnt man die "Teilnahme" am Bugbounty-Programm insofern ab, dass er in jedem Fall...

Frostwind 10. Aug 2019

cat %system32%\calc.exe > %programfiles%\steam\bin\steamservice.exe Reboot Log on, start...



Aktuell auf der Startseite von Golem.de
Corona-Warn-App
Jede geteilte Warnung kostete 100 Euro

Die Bundesregierung hat für die Corona-Warn-App bisher mehr als 130 Millionen Euro ausgegeben. Derzeit gibt es besonders viele rote Warnungen.

Corona-Warn-App: Jede geteilte Warnung kostete 100 Euro
Artikel
  1. Activision Blizzard: Was passiert mit Call of Duty, Diablo und Xbox Game Pass?
    Activision Blizzard
    Was passiert mit Call of Duty, Diablo und Xbox Game Pass?

    Playstation als Verlierer und Exklusivspiele für den Xbox Game Pass: Golem.de über die bislang größte Übernahme durch Microsoft.
    Eine Analyse von Peter Steinlechner

  2. Dice: Update-Roadmap für Battlefield 2042 vorgestellt
    Dice
    Update-Roadmap für Battlefield 2042 vorgestellt

    Ob das reicht? Das Entwicklerstudio Dice hat seine Pläne für Battlefield 2042 vorgestellt. Der Shooter hat extrem niedrige Spielerzahlen.

  3. Glasfaser in Freiburg: Telekom kommt wegen wirrer Auflagen nicht weiter
    Glasfaser in Freiburg
    Telekom kommt wegen wirrer Auflagen nicht weiter

    Um Bauwurzeln zu schonen, sollte die Telekom in Freiburg Glasfaser im Zickzack ausbauen. Das dortige Tiefbauamt lehnte den Plan des Gartenbauamtes aber ab.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • LG OLED 55" 120Hz 999€ • MindStar (u.a. NZXT WaKü 129€, GTX 1660 499€) • Seagate Firecuda 530 1TB inkl. Kühlkörper + 20€ PSN-Guthaben 189,90€ • HP Omen Gaming-Stuhl 319€ • Sony Pulse 3D Wireless PS5 Headset 79,99€ • Huawei MateBook 16,1" 16GB 512GB SSD 709€ [Werbung]
    •  /