Ein Hacker hat eine Sicherheitslücke bei der Gaming-Vertriebsplattform Steam entdeckt. Laut Berichten habe es eine Schwachstelle im System gefunden, mit der man die eigene Steam Wallet auffüllen konnte. Prinzipiell hätte man sein Guthaben bei Steam unendlich vergrößern können.
Steam-Hack
Entdeckt wurde die Sicherheitslücke von einem Hacker namens „drbrix“. Demnach konnten Nutzer bei einem bestimmten Transaktionsbetrag Zahlungen über Smart2Pay mit ihree E-Mail-Adresse „abfangen“. Dort könnten sie die Höhe des Transaktionsbetrags beliebig erhöhen und auf ihre Steam Wallet übertragen. Inzwischen wurde der Bug jedoch wieder behoben.
Wäre der Fehler an die breite Öffentlichkeit gekommen, hätte Entwickler Valve, die die Plattform betreiben, einen hohen Schaden davontragen können. Und zwar sowohl finanziell, als auch sicherheitstechnisch. Umso glücklicher ist Valve, dass die Sicherheitslücke vom richtigen Hacker gefunden wurde.
Belohnung
Denn drbrix ist ein sogenannter „ethischer Hacker“ und sucht bewusst nach Fehlern im Code, um sie bei den Unternehmen zu melden. Also quasi wie „Mission impossible“ – nur mit Hackern und im echten Leben. Als Dank hat Valve dem Hacker, dessen wahre Identität unbekannt ist, eine Belohnung in Höhe von $7500 zukommen lassen.
Nachdem er ihnen über die Seite „HackerOne“ einen detaillierten Bericht zugesendet hat, korrigierten Mitarbeiter von Valve den Fehler. Drbrix wurde daraufhin darum gebeten, noch einmal zu versuchen den Bug auszunutzen und hat es nicht geschafft. Seitdem gilt die Sicherheitslücke als geschlossen. Neben der Belohnung von 7500 US-Dollar hat sich das Unternehmen außerdem bei dem Hacker bedankt. Sie hoffen, in Zukunft noch weitere Fehlermeldungen durch ihn schließen zu können:
„Thank you for this report. This was clearly written and helpful in identifying a real business risk. We have changed the severity assessment to Critical, reflecting the potential cost to the business, and applied a bounty accordingly. We hope to hear more from you in the future.“
(Quelle: Eurogamer)
Hier seht ihr die Meldung