Image

Valve – User findet gigantische Sicherheitslücke

fragster Adrian August 16, 2021

User findet gigantische Sicherheitslücke – und Valve geizt herum. Vor kurzem hat ein Sicherheitshacker auf Hackerone eine Sicherheitslücke gemeldet, mit der man auf Steam unbegrenzt Geld verdienen kann. Die Sicherheitslücke wurde inzwischen von Valve gepatcht, und das Unternehmen hat dem User, der die Sicherheitslücke entdeckt hat, 7500 Dollar dafür gegeben.

Hackerone ist eine Website, die Unternehmen wie Valve mit Usern zusammenbringt, die gerne Websites, Anwendungen und andere Software hacken und basteln. Diese Leute können den Unternehmen privat Exploits und Hacks vorlegen, und im Gegenzug können diese Tech-Unternehmen den Hackern Geld für ihre Funde geben, was sie auch normalerweise tun, und zwar nicht zu knapp. Dieses System hat sich als hilfreich erwiesen, um bösartige Angriffe zu verhindern, bevor sie an die Öffentlichkeit gelangen können.

Große Lücke, kleine Bezahlung

Am 9. August machte der Hackerone-User Drbrix Valve privat auf einen Steam Wallet-Exploit aufmerksam. Bei diesem Exploit kann man seine E-Mail-Adresse ändern und Transaktionen mit Smart2Pay-Zahlungsmethoden abfangen. Die vollständige Angriffsmethode und ihre Funktionsweise kann man in dem Hackerone-Bericht nachlesen, der vor einigen Wochen am Sonntag den 1. August veröffentlicht wurde und nur einige Tage später von The Daily Swig aufgegriffen wurde.

“Ich denke, die Auswirkungen sind ziemlich offensichtlich: Angreifer können Geld verdienen und den Steam-Markt kaputt machen, Game Keys billig verkaufen usw.”, schrieb Drbrix in seinem Hackerone-Bericht.

Wie zu erwarten, reagierte Valve schnell auf Drbrix’ Beitrag. Ein Valve-Mitarbeiter namens JonP bedankte sich bei Drbrix für seinen Fund und erklärte, dass Valve die Meldung schnell bestätigt und Schritte unternommen habe, um das Problem zu beheben. In einer weiteren Nachricht von JonP hieß es, der Bericht sei “klar geschrieben” und “hilfreich bei der Identifizierung eines echten Geschäftsrisikos”.

Valve hat Drbrix daraufhin 7500 Dollar gezahlt, was zwar eine nette kleine Summe ist, aber für das “identifizieren eines großen Geschäftsrisikos” doch ziemlich wenig! Wäre dieser Exploit an die Öffentlichkeit gelangt oder mit ein paar kleinen Gruppen von Leuten geteilt worden, hätte das Valve deutlich mehr als nur 7500 Dollar kosten können. Valve war damit ganz schön geizig unterwegs.

Nur mal so zum Vergleich damit wir hier eine Vorstellung von der Größenordnung haben: Letztes Jahr hat Riot Leuten 100.000 Dollar für das Auffinden von Valorant-Exploits angeboten, die teilweise nicht mal so groß und bedeutend waren wie der von Drbrix.

Nachdem alles geklärt und der Exploit behoben wurde, haben Valve und Drbrix den vollständigen Bericht veröffentlicht. Momentan wissen wir noch nicht, ob jemand in der Lage war, diesen Exploit zu nutzen, bevor Valve benachrichtigt wurde und ihn gepatcht hat.