Unendlich Geld auf Steam: Exploit hätte Betrüger zu Geldsäcken machen können
Eine Sicherheitslücke erlaubte das Abfangen und anpassen bestimmter Zahlungsanweisungen auf Steam. Der Experte, der Valve darauf hinwies, bekam eine hohe vierstellige Belohnung.
Valve hat eine ebenso kuriose wie erhebliche Sicherheitslücke in seinem Zahlungsablauf behoben, mit der sich User mit etwas krimineller Energie große Geldsummen auf ihr Steam-Guthaben hätten schaufeln können. Den Tippgeber bedachte Valve mit einer Belohnung von 7.500 Dollar.
Der Tipp, den Sicherheitsexperte "drbrix" bei HackerOne einreichte (danke, The Daily Swig), "fand eine Verwundbarkeit, die einem Angreifer erlaubte, Steam-Guthaben zu generieren." Mittlerweile ist die Sicherheitslücke behoben. Interessant ist der Exploit dennoch.
Sofern man eine Emailadresse mit dem Inhalt "amount100" als Steam-Email hinterlegt hatte, war man theoretisch in der Lage, über Smart2Pay gemachte Zahlungsanweisungen - zum Beispiel über einen niedrigen Betrag von einem Euro - abzufangen und diese auf dem Weg zur Autorisierung beliebig zu erhöhen. Fragt mich nicht, wieso das möglich war.
JonP von Valve dankte drbrix umgehend und bestätigte, dass der Exploit korrekt geschildert war und funktionierte.
"Danke für diesen Bericht", so JonP. "Das war nachvollziehbar beschrieben und hilfreich dabei, ein mögliches geschäftliches Risiko zu lokalisieren. Wir haben die Beurteilung [der Schwere des Exploits] auf kritisch hochgestuft, um die etwaigen Kosten für das Geschäft widerzuspiegeln und die Belohnung entsprechend angepasst. Wir hoffen, in Zukunft wieder von Ihnen zu hören."
Der Exploit wurde schnell behoben und drbix erhielt für seinen Hinweis den nicht unerheblichen Finderlohn von 7.500 Dollar. Vermutlich nicht als Steam-Guthaben.
Zur Stunde hat sich Valve nicht geäußert, ob jemand diese Sicherheitslücke ausgenutzt hat - oder ob das Problem gefixt wurde, bevor jemand aufgrund des Berichts des Exploits lange Finger machen konnte.
Schon im April behob Valve eine schwerwiegende, aber weniger lustige Sicherheitslücke, mithilfe derer sich Hacker über die Source-Engine Zugang zu fremden Rechnern verschaffen konnten.