User findet gigantische Sicherheitslücke – und Valve geizt herum. Vor kurzem hat ein Sicherheitshacker auf Hackerone eine Sicherheitslücke gemeldet, mit der man auf Steam unbegrenzt Geld verdienen kann. Die Sicherheitslücke wurde inzwischen von Valve gepatcht, und das Unternehmen hat dem User, der die Sicherheitslücke entdeckt hat, 7500 Dollar dafür gegeben.
Hackerone ist eine Website, die Unternehmen wie Valve mit Usern zusammenbringt, die gerne Websites, Anwendungen und andere Software hacken und basteln. Diese Leute können den Unternehmen privat Exploits und Hacks vorlegen, und im Gegenzug können diese Tech-Unternehmen den Hackern Geld für ihre Funde geben, was sie auch normalerweise tun, und zwar nicht zu knapp. Dieses System hat sich als hilfreich erwiesen, um bösartige Angriffe zu verhindern, bevor sie an die Öffentlichkeit gelangen können.
Große Lücke, kleine Bezahlung
Am 9. August machte der Hackerone-User Drbrix Valve privat auf einen Steam Wallet-Exploit aufmerksam. Bei diesem Exploit kann man seine E-Mail-Adresse ändern und Transaktionen mit Smart2Pay-Zahlungsmethoden abfangen. Die vollständige Angriffsmethode und ihre Funktionsweise kann man in dem Hackerone-Bericht nachlesen, der vor einigen Wochen am Sonntag den 1. August veröffentlicht wurde und nur einige Tage später von The Daily Swig aufgegriffen wurde.
“Ich denke, die Auswirkungen sind ziemlich offensichtlich: Angreifer können Geld verdienen und den Steam-Markt kaputt machen, Game Keys billig verkaufen usw.”, schrieb Drbrix in seinem Hackerone-Bericht.
Wie zu erwarten, reagierte Valve schnell auf Drbrix’ Beitrag. Ein Valve-Mitarbeiter namens JonP bedankte sich bei Drbrix für seinen Fund und erklärte, dass Valve die Meldung schnell bestätigt und Schritte unternommen habe, um das Problem zu beheben. In einer weiteren Nachricht von JonP hieß es, der Bericht sei “klar geschrieben” und “hilfreich bei der Identifizierung eines echten Geschäftsrisikos”.
Valve hat Drbrix daraufhin 7500 Dollar gezahlt, was zwar eine nette kleine Summe ist, aber für das “identifizieren eines großen Geschäftsrisikos” doch ziemlich wenig! Wäre dieser Exploit an die Öffentlichkeit gelangt oder mit ein paar kleinen Gruppen von Leuten geteilt worden, hätte das Valve deutlich mehr als nur 7500 Dollar kosten können. Valve war damit ganz schön geizig unterwegs.
Nur mal so zum Vergleich damit wir hier eine Vorstellung von der Größenordnung haben: Letztes Jahr hat Riot Leuten 100.000 Dollar für das Auffinden von Valorant-Exploits angeboten, die teilweise nicht mal so groß und bedeutend waren wie der von Drbrix.
Nachdem alles geklärt und der Exploit behoben wurde, haben Valve und Drbrix den vollständigen Bericht veröffentlicht. Momentan wissen wir noch nicht, ob jemand in der Lage war, diesen Exploit zu nutzen, bevor Valve benachrichtigt wurde und ihn gepatcht hat.
Ähnliche Beiträge
BLAST.tv Paris Major: GamerLegion und Apeks stehen im Halbfinale Das CS:GO Lineup von GamerLegion hat MONTE besiegt und zieht damit in das Halbfinale des BLAST.tv Paris Majors ein.... 
| Mai 20, 2023 
Dota 2 – T1 verpflichtet 23savage vor erstem Pro Circuit Major T1 unterzeichnet 23savage vor dem ersten Dota Pro Circuit Major 2021. Wie viele in der Dota 2-Community richtig vorausgesagt... | März 4, 2021 
League of Legends: beliebter Spielmodus URF kehrt zurück Die klassische, nicht zufällige Version von URF ist endlich wieder da, nachdem der jüngste Funmode Ultimate Spellbook mit dem... 
| Oktober 7, 2022 
Fortnite hat über 70 Millionen Dollar für die Ukraine gesammelt Der Krieg von Russland gegen die Ukraine ist nach wie vor in vollem Gange und Millionen von Menschen befinden... | März 28, 2022 
CDL Major: OpTic Texas eliminiert Seattle Surge OpTic Texas hat Seattle Surge beim CDL Major eliminiert. OpTic Texas wird am Championship Sunday beim dritten Major der... | März 12, 2023 
Shroud verlässt Sentinels – wird es eine Rückkehr geben? Vor kurzem fiel aufmerksamen Fans auf, dass Top-Streamer und Profispieler Michael “shroud” Grzesiek seinen Sentinels-Tag aus Twitter wieder rausgenommen... | August 15, 2022