Valve bezahlt Hacker - Für Sicherheitslücken in Steam, CS:GO oder Dota 2 gibt's jetzt Geld

Valve bezahlt über Hackerone nun Spezialisten, die Sicherheitslücken in Steam und ihren Spielen finden.

von Stefan Köhler,
12.05.2018 13:35 Uhr

Valve bezahlt Sicherheitsspezialisten, wenn sie Lücken in Steam, Dota 2 und Co. entdecken.Valve bezahlt Sicherheitsspezialisten, wenn sie Lücken in Steam, Dota 2 und Co. entdecken.

Via Hackerone suchen Tech-Unternehmen Spezialisten, die in ihrer Software kritische Sicherheitslücken aufspüren können. Dazu gehören beispielsweise Apple, Microsoft und Nintendo. Auch Valve gehört seit wenigen Monaten zu diesen Firmen und nun zahlt der Videospielriese endlich ein Kopfgeld für entsprechende Meldungen.

Beim Kopfgeld wird grob nach dem Industriestandard CVSS (Common Vulnerability Scoring System) unterteilt: Kleine Sicherheitslücken werden mit maximal 200 Dollar belohnt, Valve behält sich aber das Recht vor, auch gar kein Geld zu überweisen. Für die kritischen Löcher der CVSS-Stufen 9.0 bis 10.0 gibt es hingegen mindestens 1.500 US-Dollar, ein Maximum wird nicht festgelegt.

Meldungen akzeptiert Valve für beinahe alles: Webseiten wie steampowered.com, dota2.com und counter-strike.net, für den Steam Client, das Linux-Betriebssystem SteamOS, die Entwicklerumgebung Steamworks SDK, die Steam-Mobile-App, Steam-Server, alle Spiele von Valve sowie dem Steam-Markt und Ingame-Mikrotransaktionen.

Einschränkungen

Bei der Hackerone-Initiative geht es nur um Sicherheitslücken. Bugs, Glitches oder Gameplay-Exploits in Dota 2, Counter-Strike: Global Offensive, Half-Life-Spielen oder Team Fortress 2 haben damit nichts zu tun und sollen auf dem klassischen Weg per Mail an Valve gemeldet werden.

Auf Nachfrage ist Valve bereit, Details zu gefundenen Sicherheitslücken für weitere Nachforschungen mitzuteilen und auch eine öffentliche Diskussion in Foren und Blogs ist erlaubt. Valve behält sich aber das Recht vor, diese Erlaubnis zu entziehen, wenn die öffentliche Diskussion selbst bereits ein Sicherheitsrisiko bedeutet. Außerdem sollten Valves Entwickler genügend Vorlaufzeit erhalten, vor einer Veröffentlichung von Sicherheitsreports die Sicherheitslücke zu schießen.

Außerdem sollten die Spezialisten von bestimmten Methoden absehen, um Sicherheitslücken zu finden. Dazu gehören (selbstverständlich) DDoS-Attacken, Spamming und Social Engineering (inklusive Phishing-Versuche). Zum Abschluss bittet das Unternehmen darum, von Watch-Dogs-Aktionen abzusehen und nicht in Valves Gebäude und Rechenzentren einzubrechen.

Plus-Report aus dem Jahr 2013: Zehn Jahre Steam

Artifact: The Dota Card Game - Ankündigungs-Trailer von Valves neuem Spiel 0:34 Artifact: The Dota Card Game - Ankündigungs-Trailer von Valves neuem Spiel


Kommentare(30)

Nur angemeldete Benutzer können kommentieren und bewerten.

Cookies optimieren die Bereitstellung unserer Dienste. Mit der Nutzung unserer Dienste erklären Sie sich damit einverstanden, dass wir Cookies verwenden. Weitere Informationen oder schließen