Via Hackerone suchen Tech-Unternehmen Spezialisten, die in ihrer Software kritische Sicherheitslücken aufspüren können. Dazu gehören beispielsweise Apple, Microsoft und Nintendo. Auch Valve gehört seit wenigen Monaten zu diesen Firmen und nun zahlt der Videospielriese endlich ein Kopfgeld für entsprechende Meldungen.

Beim Kopfgeld wird grob nach dem Industriestandard CVSS (Common Vulnerability Scoring System) unterteilt: Kleine Sicherheitslücken werden mit maximal 200 Dollar belohnt, Valve behält sich aber das Recht vor, auch gar kein Geld zu überweisen. Für die kritischen Löcher der CVSS-Stufen 9.0 bis 10.0 gibt es hingegen mindestens 1.500 US-Dollar, ein Maximum wird nicht festgelegt.

Meldungen akzeptiert Valve für beinahe alles: Webseiten wie steampowered.com, dota2.com und counter-strike.net, für den Steam Client, das Linux-Betriebssystem SteamOS, die Entwicklerumgebung Steamworks SDK, die Steam-Mobile-App, Steam-Server, alle Spiele von Valve sowie dem Steam-Markt und Ingame-Mikrotransaktionen.

Einschränkungen

Bei der Hackerone-Initiative geht es nur um Sicherheitslücken. Bugs, Glitches oder Gameplay-Exploits in Dota 2, Counter-Strike: Global Offensive, Half-Life-Spielen oder Team Fortress 2 haben damit nichts zu tun und sollen auf dem klassischen Weg per Mail an Valve gemeldet werden.

Auf Nachfrage ist Valve bereit, Details zu gefundenen Sicherheitslücken für weitere Nachforschungen mitzuteilen und auch eine öffentliche Diskussion in Foren und Blogs ist erlaubt. Valve behält sich aber das Recht vor, diese Erlaubnis zu entziehen, wenn die öffentliche Diskussion selbst bereits ein Sicherheitsrisiko bedeutet. Außerdem sollten Valves Entwickler genügend Vorlaufzeit erhalten, vor einer Veröffentlichung von Sicherheitsreports die Sicherheitslücke zu schießen.

Außerdem sollten die Spezialisten von bestimmten Methoden absehen, um Sicherheitslücken zu finden. Dazu gehören (selbstverständlich) DDoS-Attacken, Spamming und Social Engineering (inklusive Phishing-Versuche). Zum Abschluss bittet das Unternehmen darum, von Watch-Dogs-Aktionen abzusehen und nicht in Valves Gebäude und Rechenzentren einzubrechen.

