Thumbnail

Hallo liebe Leserschaft! In den letzten Wochen wurde viel über die Sicherheit in verschiedenen Bereichen von Valve diskutiert. Um euch zu zeigen, dass Sicherheitslücken ein generelles Problem sind, habe ich mir die Frage gestellt: “Wie sicher sind wichtige CS:GO Anlaufstellen?”.

Vorwort

Vorweg, eine Sicherheitslücke ist nicht das Problem. Sicherheitslücken gehören (leider) zum Alltag eines Entwicklers dazu. Die Art und Weise wie damit umgegangen wird, ist meistens das Problem. Meistens dauert es wenige Tage bis mehrere Wochen bis solche Sicherheitslücken gemeldet, gesichtet, reproduziert und behoben werden können.

hackerMan darf nicht vergessen, dass bei einer riesen Firma einiges an Arbeitsabläufen mit noch mehr Personal dahinter steckt, um so etwas anzugehen. Was allerdings nicht passieren darf, ist so etwas was bei Valve passiert ist.

Eine kritische Remote Code Execution wie sie von Florian gemeldet wurde, darf nicht jahrelang ungeschlossen bleiben! Hier besteht grobe Fahrlässigkeit gegenüber den Usern und auch der eigenen Firma gegenüber!

Da das für viele von euch natürlich Neuland ist, möchte ich einmal die Situationen näher beleuchten und euch zeigen, wie viele Sicherheitslücken alleine im April 2021 bei CS MONEY, PayPal, Reddit, Spotify, Twitter und Valve geschlossen und belohnt wurden!

Es gibt natürlich viel mehr Webseiten bzw. Services ohne die unsere CS:GO Community nicht mehr kann, allerdings haben die keine öffentlich einsehbaren Bug Bounty Programme.

CS MONEY

Starten wir mit CS MONEY. CS MONEY ist eine Skin Trading Plattform, welche einen normalen Kaufen/Verkaufen Marktplatz bietet, aber auch eine sofortige Tausch-Option anbietet! Das unterscheidet sie z.B. von Skinport oder SkinBaron.

CS MONEY hat im Gegensatz zu den meisten Trading Seiten ein öffentlich einsehbares Bug Bounty Programm, über das Sicherheitsforscher, Hacker oder Programmierer Sicherheitslücken melden können und dafür ein Bounty erhalten.

Im April wurde zwar nur eine einzige Sicherheitslücke an CS.MONEY gemeldet, allerdings belohnt CS.MONEY Hacker auch erst seit September 2020 mit Bountys. Wenn ich mal bis zum Anfang des Jahres zurückgehe, sind wir immerhin schon bei 12 Sicherheitslücken.

Die schlimmste Sicherheitslücke gestattete einem Hacker Nachrichten mit einem beliebigen Text über die Website an jeden User zu schicken. Dafür brauchte er nur die SteamID des Opfers, welche ja öffentlich einsehbar ist. Dieser Hack wurde mit 2.000 $ belohnt.

Insgesamt hat CS MONEY in seinen Webseiten seit September 2020 65 Sicherheitslücken geschlossen und dabei mehr als 15.000 $ als Belohnungen ausgezahlt.

PayPal

Ich bin der Meinung, dass ich PayPal nicht vorstellen muss. Gefühlt jeder hat einen PayPal Account (wenn er denn berechtigt ist) und nutzt diesen mehr oder weniger regelmäßig.

Im April wurden ganze 14 teilweise kritische Sicherheitslücken geschlossen! Leider veröffentlicht PayPal nur selten genauere Informationen zu diesen Hacks.

Wenn ich mir die bezahlten Belohnungen von teilweise mehr als 20.000 $ anschaue, kann es sich dabei nur um sehr kritische Sicherheitslücken handeln, welche Teil/Vollzugriff auf die Server, Nutzeraccounts oder Datenbanken gewährten.

In den letzten 3 Monaten wurden von PayPal genau 614.690 $ an Belohnungen ausgezahlt. Dafür könnte ich mir 4x den Mercedes-AMG GLE Coupé kaufen und hätte immer noch Geld für einen schönen Urlaub und Sprit für die nächsten Monate übrig.

Reddit

Reddit ist im Bereich des Bug Bounty noch sehr neu! Im April 2021 haben sie ihr eigenes Bug Bounty Programm veröffentlicht. Trotzdem sind schon viele Reports eingegangen.

RedditDu darfst jetzt kurz raten und dir eine Zahl vorstellen. Merke dir diese Zahl! Auf Reddit wurden seit April dieses Jahres 19 verschiedene Sicherheitslücken geschlossen.

Die Website hackerone.com listet sogar mehr Sicherheitslücken, welche teilweise über ein Jahr zurückreichen.

Entweder hat Reddit sein Programm komplett neu gemacht, oder es wurden alte Sicherheitslücken übertragen, welche manuell gemeldet und geschlossen wurden.

Insgesamt hat Reddit fast genau 9.000 $ an Hacker im April ausgezahlt.

Spotify

Die für viele von uns präferierte Musik-Streaming Plattform von vielen Nutzern ist seit Mai 2017 mit ihrem Bug Bounty Programm online.

Dabei wurden im April 2021 28 verschiedene Sicherheitslücken geschlossen und ihrer Finder mit einem Bounty belohnt.Spotify

Die Belohnungen beliefen sich dabei auf mindestens 7.000 $. Leider veröffentlicht Spotify kaum bis keine Informationen zu den Sicherheitslücken.

Teilweise konnte ich nicht mal die Belohnungen einsehen. Es könnten sich bei den nicht öffentlichen Beträgen um 250 $ oder um 2.000 $ pro Sicherheitslücke handeln.

Damit könnte der ausgezahlte Betrag von mindestens 7.000 $ um locker weitere 3.000-4.000 $ anwachsen.

Twitter

Twitter ist bereits seit vielen Jahren (Mai 2014) im Bug Bounty Geschäft. Leider veröffentlicht Twitter wie Spotify oder PayPal nur sehr selten nähere Details zu den geschlossenen Sicherheitslücken.

TwitterInsgesamt wurden im April 2021 14 verschiedene Sicherheitslücken auf den Plattformen von Twitter geschlossen.

Neben twitter.com, zählen hier auch vine.co, periscope.tv und mopub.com dazu. Dabei wurden etwa 12.000 $ an Sicherheitsforscher ausgezahlt. Eine stolze Zahl!

Valve

Kommen wir zu meiner Meinung nach interessantesten Auflistung. Valve ist wie bereits angemerkt, in den letzten Wochen ziemlich in Verruf geraten. Dabei haben sie seit Oktober 2017 ein aktives Bug Bounty Programm.

35.050 $ hat Valve für 17 Sicherheitslücken in den letzten 2 Wochen bezahlt. Das muss man sich mal vorstellen. Allerdings darf man auch nicht vergessen, dass hier nicht nur die Webseiten steampowered.com, valvesoftware.com, steamcommunity.com und mehrere weitere im Rahmen sind, sondern auch die Executable Files von Steam, CS:GO, Dota2 und mehr!

Zuletzt wurden wir auf RCE Sicherheitslücken aufmerksam gemacht, über die ein Hacker Code auf seinem PC ausführen konnte. Das ist mit das Schlimmste, was passieren kann.

Fazit

Wow, hättet ihr gedacht, dass es doch so viele Sicherheitslücken sind, die jeden Monat geschlossen werden? Ich muss leider sagen, ich wusste es schon. Sicher sind sämtliche Anlaufstellen. Allerdings heißt das eben nicht, dass es keine Sicherheitslücken gibt.

Die gibt bei jedem Anbieter. Damit muss man einfach klarkommen, wenn man das Internet benutzt. Ich hoffe, euch hat der Beitrag gefallen. Ich danke wie immer für das Lesen und wünsche euch noch einen schönen Tag 🙂 ! Maurice.

Hallo! Ich bin Maurice. Ich komme aus dem wunderschönen Magdeburg und wenn ich nicht gerade in CS:GO verzweifle, vertreibe ich mir meine Zeit mit meinem Blog und Web Design/Web Development.

Leave a Reply

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.