Hackerone versuchte Veröffentlichung von Bug zu verhindern

Der Entdecker der Lücke, Vasily Kravets, meldete diese über das Bugbounty-Programm des Steam-Herstellers Valve auf der Plattform Hackerone. Dort wurde der Fehlerbericht nach kurzer Zeit von einem Mitarbeiter der Plattform als "nicht zutreffend" geschlossen.

Kravets versuchte daraufhin, einem Hackerone-Mitarbeiter den Fehler im Detail zu erläutern. Dieser konnte ihn so nachvollziehen. Doch einige Zeit später wurde der Bericht erneut als "nicht zutreffend" geschlossen. Zwei Begründungen wurden hierfür angegeben: Angriffe, bei denen man eine Datei auf dem System des Nutzers platziert oder Angriffe, die einen lokalen Zugriff auf das System erfordern, seien vom Programm von Valve ausgeschlossen.

Lokale Sicherheitslücken nicht Teil von Valves Bugbounty-Programm

Tatsächlich steht dies in der Beschreibung des Bugbounty-Programms von Valve. Faktisch schließt das Programm also sämtliche Sicherheitslücken, die die lokale Rechteverwaltung betreffen, komplett aus. Es dürfte den wenigsten Nutzern von Steam klar sein, dass sie sich durch eine Installation damit einverstanden erklären, dass die lokale Rechteverwaltung unter Windows plötzlich nutzlos ist.

Kravets kündigte daraufhin an, dass er die Details zu der Lücke öffentlich machen würde. Doch das wollte Hackerone verhindern. Ein Mitarbeiter teilte Kravets mit, dass es ihm nicht erlaubt sei, die Details zu der Lücke zu veröffentlichen. Kravets ignorierte diese Aufforderung. Am Ende seines Blogposts schreibt er noch, dass die vor wenigen Tagen veröffentlichte neueste Version von Steam weiterhin für die Sicherheitslücke anfällig ist.

Wir haben sowohl Hackerone als auch Valve kontaktiert und um eine Stellungnahme gebeten. Valve hat unsere Anfrage bislang nicht beantwortet. Hackerone erklärte, dass man die Details des Fehlers an Valve weitergereicht hatte und von dort das Feedback bekam, dass man den Bug für ungültig hält - mit Verweis auf den entsprechenden Passus im Bugbounty-Programm von Valve.

Hacker verstieß gegen "ethische Standards" von Hackerone

Weiterhin verweist Valve darauf, dass Kravets gegen die Teilnahmebedingungen des Bugbounty-Programms von Valve verstoßen habe, da er die Details der Lücke veröffentlicht habe. Dies sei ein Verstoß gegen die "ethischen Hacking-Standards" von Hackerone. Man werde den Fehlerbericht aber erneut prüfen.

Zudem, so Hackerone, habe man auch einen Passus in den Regeln, der es erlaubt, dass Personen, die Sicherheitslücken berichten, diese nach 180 Tagen veröffentlichen können, wenn man sich mit dem Sicherheitsteam des jeweiligen Bugbounty-Programms nicht auf einen Zeitplan zur Veröffentlichung einigen kann. Dieser widerspricht aber den Angaben im Bugbounty-Programm von Valve. Dort heißt es, dass man grundsätzlich nicht zustimme, dass Fehlerberichte, die als "nicht zutreffend" markiert wurden, veröffentlicht werden.

Der Vorfall wirft einige Fragen über die Rolle von Bugbounty-Programmen und von Plattformen wie Hackerone auf. Diese sollten idealerweise dazu dienen, Services und Software sicherer zu machen. In diesem Fall wurde aber offenbar versucht, mithilfe der Teilnahmebedingungen eines Bugbounty-Programms dafür zu sorgen, einen Sicherheitsforscher zum Schweigen zu bringen - weil Valve kein Interesse daran hatte, eine kritische Sicherheitslücke zu beheben.

Offenlegung: Der Autor dieses Artikels nutzt Hackerone selbst regelmäßig, um Sicherheitslücken an Firmen zu melden. Er hat dabei selbst schon ähnliche, wenngleich nicht ganz so drastische Erfahrungen gemacht.

Nachtrag vom 10. August 2019, 14:25 Uhr

Valve hat inzwischen reagiert und eine neue Beta-Version von Steam veröffentlicht, in der laut Ankündigung die Sicherheitslücke geschlossen wurde.