Via Hackerone suchen Tech-Unternehmen Spezialisten, die in ihrer Software kritische Sicherheitslücken aufspüren können. Dazu gehören beispielsweise Apple, Microsoft und Nintendo. Auch Valve gehört seit wenigen Monaten zu diesen Firmen und nun zahlt der Videospielriese endlich ein Kopfgeld für entsprechende Meldungen.
Beim Kopfgeld wird grob nach dem Industriestandard CVSS (Common Vulnerability Scoring System) unterteilt: Kleine Sicherheitslücken werden mit maximal 200 Dollar belohnt, Valve behält sich aber das Recht vor, auch gar kein Geld zu überweisen. Für die kritischen Löcher der CVSS-Stufen 9.0 bis 10.0 gibt es hingegen mindestens 1.500 US-Dollar, ein Maximum wird nicht festgelegt.
Meldungen akzeptiert Valve für beinahe alles: Webseiten wie steampowered.com, dota2.com und counter-strike.net, für den Steam Client, das Linux-Betriebssystem SteamOS, die Entwicklerumgebung Steamworks SDK, die Steam-Mobile-App, Steam-Server, alle Spiele von Valve sowie dem Steam-Markt und Ingame-Mikrotransaktionen.
Einschränkungen
Bei der Hackerone-Initiative geht es nur um Sicherheitslücken. Bugs, Glitches oder Gameplay-Exploits in Dota 2, Counter-Strike: Global Offensive, Half-Life-Spielen oder Team Fortress 2 haben damit nichts zu tun und sollen auf dem klassischen Weg per Mail an Valve gemeldet werden.
Auf Nachfrage ist Valve bereit, Details zu gefundenen Sicherheitslücken für weitere Nachforschungen mitzuteilen und auch eine öffentliche Diskussion in Foren und Blogs ist erlaubt. Valve behält sich aber das Recht vor, diese Erlaubnis zu entziehen, wenn die öffentliche Diskussion selbst bereits ein Sicherheitsrisiko bedeutet. Außerdem sollten Valves Entwickler genügend Vorlaufzeit erhalten, vor einer Veröffentlichung von Sicherheitsreports die Sicherheitslücke zu schießen.
Außerdem sollten die Spezialisten von bestimmten Methoden absehen, um Sicherheitslücken zu finden. Dazu gehören (selbstverständlich) DDoS-Attacken, Spamming und Social Engineering (inklusive Phishing-Versuche). Zum Abschluss bittet das Unternehmen darum, von Watch-Dogs-Aktionen abzusehen und nicht in Valves Gebäude und Rechenzentren einzubrechen.
Plus-Report aus dem Jahr 2013: Zehn Jahre Steam
0:34
Artifact: The Dota Card Game - Ankündigungs-Trailer von Valves neuem Spiel
Nur angemeldete Benutzer können kommentieren und bewerten.
Dein Kommentar wurde nicht gespeichert. Dies kann folgende Ursachen haben:
1. Der Kommentar ist länger als 4000 Zeichen.
2. Du hast versucht, einen Kommentar innerhalb der 10-Sekunden-Schreibsperre zu senden.
3. Dein Kommentar wurde als Spam identifiziert. Bitte beachte unsere Richtlinien zum Erstellen von Kommentaren.
4. Du verfügst nicht über die nötigen Schreibrechte bzw. wurdest gebannt.
Bei Fragen oder Problemen nutze bitte das Kontakt-Formular.
Nur angemeldete Benutzer können kommentieren und bewerten.
Nur angemeldete Plus-Mitglieder können Plus-Inhalte kommentieren und bewerten.