• IT-Karriere:
  • Services:

Hackerone versuchte Veröffentlichung von Bug zu verhindern

Der Entdecker der Lücke, Vasily Kravets, meldete diese über das Bugbounty-Programm des Steam-Herstellers Valve auf der Plattform Hackerone. Dort wurde der Fehlerbericht nach kurzer Zeit von einem Mitarbeiter der Plattform als "nicht zutreffend" geschlossen.

Stellenmarkt
  1. über PRIMEPEOPLE AG, Stuttgart
  2. Diakonie-Klinikum Stuttgart, Stuttgart

Kravets versuchte daraufhin, einem Hackerone-Mitarbeiter den Fehler im Detail zu erläutern. Dieser konnte ihn so nachvollziehen. Doch einige Zeit später wurde der Bericht erneut als "nicht zutreffend" geschlossen. Zwei Begründungen wurden hierfür angegeben: Angriffe, bei denen man eine Datei auf dem System des Nutzers platziert oder Angriffe, die einen lokalen Zugriff auf das System erfordern, seien vom Programm von Valve ausgeschlossen.

Lokale Sicherheitslücken nicht Teil von Valves Bugbounty-Programm

Tatsächlich steht dies in der Beschreibung des Bugbounty-Programms von Valve. Faktisch schließt das Programm also sämtliche Sicherheitslücken, die die lokale Rechteverwaltung betreffen, komplett aus. Es dürfte den wenigsten Nutzern von Steam klar sein, dass sie sich durch eine Installation damit einverstanden erklären, dass die lokale Rechteverwaltung unter Windows plötzlich nutzlos ist.

Kravets kündigte daraufhin an, dass er die Details zu der Lücke öffentlich machen würde. Doch das wollte Hackerone verhindern. Ein Mitarbeiter teilte Kravets mit, dass es ihm nicht erlaubt sei, die Details zu der Lücke zu veröffentlichen. Kravets ignorierte diese Aufforderung. Am Ende seines Blogposts schreibt er noch, dass die vor wenigen Tagen veröffentlichte neueste Version von Steam weiterhin für die Sicherheitslücke anfällig ist.

Golem Akademie
  1. IT-Sicherheit für Webentwickler
    31. Mai - 1. Juni 2021, online
  2. Microsoft 365 Security Workshop
    9.-11. Juni 2021, Online
Weitere IT-Trainings

Wir haben sowohl Hackerone als auch Valve kontaktiert und um eine Stellungnahme gebeten. Valve hat unsere Anfrage bislang nicht beantwortet. Hackerone erklärte, dass man die Details des Fehlers an Valve weitergereicht hatte und von dort das Feedback bekam, dass man den Bug für ungültig hält - mit Verweis auf den entsprechenden Passus im Bugbounty-Programm von Valve.

Hacker verstieß gegen "ethische Standards" von Hackerone

Weiterhin verweist Valve darauf, dass Kravets gegen die Teilnahmebedingungen des Bugbounty-Programms von Valve verstoßen habe, da er die Details der Lücke veröffentlicht habe. Dies sei ein Verstoß gegen die "ethischen Hacking-Standards" von Hackerone. Man werde den Fehlerbericht aber erneut prüfen.

Zudem, so Hackerone, habe man auch einen Passus in den Regeln, der es erlaubt, dass Personen, die Sicherheitslücken berichten, diese nach 180 Tagen veröffentlichen können, wenn man sich mit dem Sicherheitsteam des jeweiligen Bugbounty-Programms nicht auf einen Zeitplan zur Veröffentlichung einigen kann. Dieser widerspricht aber den Angaben im Bugbounty-Programm von Valve. Dort heißt es, dass man grundsätzlich nicht zustimme, dass Fehlerberichte, die als "nicht zutreffend" markiert wurden, veröffentlicht werden.

Der Vorfall wirft einige Fragen über die Rolle von Bugbounty-Programmen und von Plattformen wie Hackerone auf. Diese sollten idealerweise dazu dienen, Services und Software sicherer zu machen. In diesem Fall wurde aber offenbar versucht, mithilfe der Teilnahmebedingungen eines Bugbounty-Programms dafür zu sorgen, einen Sicherheitsforscher zum Schweigen zu bringen - weil Valve kein Interesse daran hatte, eine kritische Sicherheitslücke zu beheben.

Offenlegung: Der Autor dieses Artikels nutzt Hackerone selbst regelmäßig, um Sicherheitslücken an Firmen zu melden. Er hat dabei selbst schon ähnliche, wenngleich nicht ganz so drastische Erfahrungen gemacht.

Nachtrag vom 10. August 2019, 14:25 Uhr

Valve hat inzwischen reagiert und eine neue Beta-Version von Steam veröffentlicht, in der laut Ankündigung die Sicherheitslücke geschlossen wurde.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Hackerone: Sicherheitslücke in Steam bleibt vorerst ungefixt
  1.  
  2. 1
  3. 2


Anzeige
Hardware-Angebote

Day 12. Aug 2019

Wenn das noch Beta ist dann nicht ;)

Day 12. Aug 2019

Jucken wird es sie schon. Auch wenn hier Valve die Schuld hat wird Microsoft dennoch ein...

ZeldaFreak 12. Aug 2019

Epic als ernstzunehmender Konkurrent? Epic versucht hier mit der Brechstange sich auf...

evilk666 11. Aug 2019

Da lehnt man die "Teilnahme" am Bugbounty-Programm insofern ab, dass er in jedem Fall...

Frostwind 10. Aug 2019

cat %system32%\calc.exe > %programfiles%\steam\bin\steamservice.exe Reboot Log on, start...


Folgen Sie uns
       


Monster Hunter Rise - Fazit

Das nur für Nintendo Switch (und später für PC) verfügbare Monster Hunter Rise schickt Spieler ins alte Japan.

Monster Hunter Rise - Fazit Video aufrufen
Programm für IT-Jobeinstieg: Hoffen auf den Klebeeffekt
Programm für IT-Jobeinstieg
Hoffen auf den Klebeeffekt

Aktuell ist der Jobeinstieg für junge Ingenieure und Informatiker schwer. Um ihnen zu helfen, hat das Land Baden-Württemberg eine interessante Idee: Es macht sich selbst zur Zeitarbeitsfirma.
Ein Bericht von Peter Ilg

  1. Arbeitszeit Das Sechs-Stunden-Experiment bei Sipgate
  2. Neuorientierung im IT-Job Endlich mal machen!
  3. IT-Unternehmen Die richtige Software für ein Projekt finden

Weclapp-CTO Ertan Özdil: Wir dürfen nicht in Schönheit und Perfektion untergehen!
Weclapp-CTO Ertan Özdil
"Wir dürfen nicht in Schönheit und Perfektion untergehen!"

Der CTO von Weclapp träumt von smarter Software, die menschliches Eingreifen in der nächsten ERP-Generation reduziert. Deutschen Perfektionismus hält Ertan Özdil aber für gefährlich.
Ein Interview von Maja Hoock


    Fiat 500 als E-Auto im Test: Kleinstwagen mit großem Potenzial
    Fiat 500 als E-Auto im Test
    Kleinstwagen mit großem Potenzial

    Fiat hat einen neuen 500er entwickelt. Der Kleine fährt elektrisch - und zwar richtig gut.
    Ein Test von Peter Ilg

    1. Vierradlenkung Elektrischer GMC Hummer SUV fährt im Krabbengang seitwärts
    2. MG Cyberster MG B Roadster mit Lasergürtel und Union Jack
    3. Elektroauto E-Auto-Prämie übersteigt in 2021 schon Vorjahressumme

      •  /