Ein Hacker entdeckte jüngst einen vernichtenden Exploit. Über einen einfachen Trick konnte man Steam dazu bringen, den Wert von Geld im Steam-Guthaben zu vervielfachen. Er meldete den Exploit und kassierte eine vergleichsweise geringe Summe als Belohnung.
Was war das für ein Exploit? Ein Bug im System der Steam-Software lies eine Art von Geldvermehrung zu. Wer den Begriff „amount100“ in seinem User-Name für Steam stehen hatte, konnte Zahlungen, die via „Smart2Pay“ getätigt wurden, auf dem Weg zum Server abfangen und sie dann künstlich aufblähen. So konnte man problemlos aus einem Dollar 100 Dollar machen, die dann im Steam-Guthaben legitim auftauchten.
Damit hätte man sich wiederum allerlei Spiele in Steam kaufen und zur Geldwäsche wieder verkaufen können. So hätten Kriminelle das gesamte Wirtschaftssystem von Valves Distributionsplattform lahmlegen können.
Hacker bekommt vergleichsweise geringe Belohnung
Was war der Lohn der Ehrlichkeit? Der Hacker, der den Nickname Drbrix trägt, fand den Exploit, doch anstatt ihn selbst zu nutzen und sich zu bereichern, postete er die ganze Sache mit ausführlichen Beispielen auf der Anti-Hacking-Seite Hackerone.
Dort kann man Exploits und andere Sicherheitslücken in Software veröffentlichen und so den Kampf gegen kriminelle Hacker und Cheater unterstützen. Ironischerweise wurde der Exploit von Dbrix selbst erst als „mittelschwer“ eingestuft, ein Valve-Mitarbeiter stufte die Sache aber schnelle auf den Status „kritisch“ hoch, da es sich um einen wahrhaft schädlichen Exploit handelte.
Dank der guten Dokumentation von Drbrix konnte man bei Valve die Sache dann auch schnell beheben und zum Dank wurden 7.500 US-Dollar (6362,89 €) an Prämie an Drbrix ausbezahlt.
Das ist zwar eine hübsche Summe, doch recht wenig, wenn man bedenkt, wie viel Geld man durch das Ausnutzen des Exploits bekommen konnte. Bei Riot gab es 2020 bei Valorant sogar Job-Angebote für das Finden von Exploits im Spiel.
Bitte lies unsere Kommentar-Regeln, bevor Du einen Kommentar verfasst.
Die Summe ist doch vollkommen im normalen Rahmen für ein Bugbounty.
Immerhin macht Valve das nicht wie die CDU, deren Reaktion auf das Auffindens eines exploids in deren Wahlkampfapp war eine klage gegen die Computerwissenschaftlerin die diesen gemeldet hat… (zum Glück ist das kein üblicher Standard)
Warum ist das wenig? Hätte er die potentielle Schadenssumme kriegen sollen? Ich find das so in Ordnung.
Sehe ich ähnlich. Ist im Vergleich zu anderen Bug Bounty Programmen im Rahmen der üblichen Vergütung.
Manchmal orientieren sich solche Dinge an der Schadenssumme.
Ich meine gelesen zu haben, dass ein Chinese von Google über 100.000 € und jemand von Microsoft über 60.000 € bekommen hat, für das Melden einer Schwachstelle.
Warum hätte er sich denn auch strafbar machen sollen und es ausnutzen sollen.
Finde da euer Kommentar etwas ungücklich gewählt