Steam: Exploit ermöglichte beliebige Guthabenaufladung

PCGH-Redaktion

PCGH-Redaktion

Kommentar-System
Teammitglied
Jetzt ist Ihre Meinung gefragt zu Steam: Exploit ermöglichte beliebige Guthabenaufladung

Durch eine mittlerweile behobene Lücke in der Zahlungsabwicklung stand Angreifern die Möglichkeit offen, die eigene Steam Wallet ordentlich zu befüllen.

Bitte beachten Sie: Der Kommentarbereich wird gemäß der Forenregeln moderiert. Allgemeine Fragen und Kritik zu Online-Artikeln von PC Games Hardware sind im Feedback-Thread zu veröffentlichen und nicht im Kommentarthread zu einer News. Dort werden sie ohne Nachfragen entfernt.

lastpost-right.png
Zurück zum Artikel: Steam: Exploit ermöglichte beliebige Guthabenaufladung
 
Also da fragt man sich doch wie man auf den E-Mail Namen "amount100" gekommen ist, die Chance darüber zu stolpern, erscheint enorm gering, klingt fast so als ob der Sicherheitsforscher Einblick in Firmeninterna von Smart2Pay hatte und das eventuell ein genereller Exploit bei dem Zahlungsdienstleister handelt und nicht nur bei Valve.
 
Jeretxxo schrieb:
Also da fragt man sich doch wie man auf den E-Mail Namen "amount100" gekommen ist, die Chance darüber zu stolpern, erscheint enorm gering, klingt fast so als ob der Sicherheitsforscher Einblick in Firmeninterna von Smart2Pay hatte und das eventuell ein genereller Exploit bei dem Zahlungsdienstleister handelt und nicht nur bei Valve.
Zum Vergrößern anklicken....
Ich denke da reicht es wenn man sich anschaut was in der POST-Anfrage so erfasst und verarbeitet wird. Und dann einfach mal auf gut Glück versuchen. Bin aber kein Fachmann. So ähnlich funktioniert doch auch eine SQL-injection.
 
Prypjat_no1 schrieb:
Da hätte der gute Mann mal besser den Exploit ausgenutzt.
7500 Euro als Belohnung für diese schwerwiegende Sicherheitslücke? Rly Valve?
Zum Vergrößern anklicken....

Naja, vielleicht sind ihm 7500 Dollar auf seinem Giro lieber, als tausende Euro auf einem Steamaccount mit denen er außer Games nichts kaufen kann?

Wenn jemand zu dir kommen würde und dir entweder 15000€ auf deinen Steam Account zahlen würde oder 7500€ auf ein Konto deiner Wahl, würdest du dann das Steamguthaben nehmen?
 
Ungenuss_SAW schrieb:
Naja, vielleicht sind ihm 7500 Dollar auf seinem Giro lieber, als tausende Euro auf einem Steamaccount mit denen er außer Games nichts kaufen kann?
Zum Vergrößern anklicken....
...und die ihm nachdems auffällt natürlich wieder gestrichen werden^^

Also ich hätte auch die Belohnung genommen. Die ist erstens frei verfügbar und zweitens brauchste keine Angst haben dass sie spontan wieder weg ist.
 
Incredible Alk schrieb:
...und die ihm nachdems auffällt natürlich wieder gestrichen werden^^

Also ich hätte auch die Belohnung genommen. Die ist erstens frei verfügbar und zweitens brauchste keine Angst haben dass sie spontan wieder weg ist.
Zum Vergrößern anklicken....


...und wie wäre es mit 75.000 €, wenn du einfach mir die Exploit-Daten gibst und so tust, als ob du nie etwas davon herausgefunden hast?
 
KaneTM schrieb:
...und wie wäre es mit 75.000 €, wenn du einfach mir die Exploit-Daten gibst und so tust, als ob du nie etwas davon herausgefunden hast?
Zum Vergrößern anklicken....
In einer idealen Welt eine super Idee - in der Realität stehste mit einem Fuß im Knast und selbst wenn nichts passiert lebst du mit der ständigen Angst dass was passiert.

Nö, danke. Zusätzliche 75.000 würden mein Leben nicht irre viel verbessern, die ständige Angst vor strafrechtlicher Verfolgung würde es aber wesentlich verschlechtern.

Auch wenn die Meinung unpopulär ist aber Geld ist nicht alles (und nein, ich bin nicht reich oder so, meine Familie ist insgesamt noch unter dem Durchschnittseinkommen im Lande).
 
KaneTM schrieb:
...und wie wäre es mit 75.000 €, wenn du einfach mir die Exploit-Daten gibst und so tust, als ob du nie etwas davon herausgefunden hast?
Zum Vergrößern anklicken....
Selbst wenn man die strafrechtlichen Konsequenzen außer Acht lässt macht es wenig Sinn. Der gewonnene Nutzen steigt ja nicht linear zu jedem Euro mehr auf deinem Steam Account. Das Angebot ist nunmal stark beschränkt, was sich auch auf die theoretische Nachfrage auswirkt. Ob ich jetzt 500.000 oder 50 mio am Steamkonto habe ist relativ egal.

Im Studium wurde einem das mit Eiskugeln erklärt. 1 Kugel ist geil, ne 2. ist auch super, aber bei der 50. sagt man auch nicht mehr danke, weil eh alles schmilzt.
 
Ungenuss_SAW schrieb:
Naja, vielleicht sind ihm 7500 Dollar auf seinem Giro lieber, als tausende Euro auf einem Steamaccount mit denen er außer Games nichts kaufen kann?
Zum Vergrößern anklicken....
Und wie ist es mit Hardware? Und die dann weiter verkaufen?

Außerdem geht es gar nicht darum.
Der Mann hat Valve davor bewahrt einen großen Schaden zu nehmen und diesen mit hohem Aufwand wieder auszubessern und dann kommen da von einem sehr wohlhabenden Unternehmen wie Valve nur 7500 Euro als Belohnung bei rum?
 
Ungenuss_SAW schrieb:
Naja, vielleicht sind ihm 7500 Dollar auf seinem Giro lieber, als tausende Euro auf einem Steamaccount mit denen er außer Games nichts kaufen kann?

Wenn jemand zu dir kommen würde und dir entweder 15000€ auf deinen Steam Account zahlen würde oder 7500€ auf ein Konto deiner Wahl, würdest du dann das Steamguthaben nehmen?
Zum Vergrößern anklicken....
Natürlich würde man mit genügend krimineller Energie die 15k auf Steam nehmen, dann Skins kaufen und auf den einschlägigen Seiten flüssig machen. Ist mit Sicherheit auch so passiert.

Und kurz bevor es auffällt, was wohl spätestens bei der nächsten Abrechnung des Bezahldienstes der Fall ist, stellt man sich als guter Samariter dar und streicht noch ne Belohnung ein.
 
Zuletzt bearbeitet:
Bevor ich die News gelesen habe dachte ich mir : Okay, hoffentlich ist das nichts worauf ich nicht selber gekommen wäre oder kurz davor war den Exploit ausversehen selbst zu finden.

Nach dem Lesen dachte ich mir : okay habe nix verpasst, das ist schon kompliziert genug und um 10 ecken gedacht :D
 
Ungenuss_SAW schrieb:
Selbst wenn man die strafrechtlichen Konsequenzen außer Acht lässt macht es wenig Sinn. Der gewonnene Nutzen steigt ja nicht linear zu jedem Euro mehr auf deinem Steam Account. Das Angebot ist nunmal stark beschränkt, was sich auch auf die theoretische Nachfrage auswirkt. Ob ich jetzt 500.000 oder 50 mio am Steamkonto habe ist relativ egal.

Im Studium wurde einem das mit Eiskugeln erklärt. 1 Kugel ist geil, ne 2. ist auch super, aber bei der 50. sagt man auch nicht mehr danke, weil eh alles schmilzt.
Zum Vergrößern anklicken....

der, der es rausgefunden hat, hatte Everest mögliche Szenarien:

1. den explizit in irgendwelchen Foren teilen- kostenfrei.
bis Valverde das rausgefunden hätte, wäre schon ein schaden von vielen hundert tausend entstanden

2. Sich heimlich den explizit zu Nutze machen - leiten gegen eine Gebühr von 500€ (zu zahlen in bitcoin) mal eben 5000€ auf ihr Konto gehackt.
wäre vermutlich Monate lang nicht aufgefallen und er hätte sich mit Leichtigkeit mehrere 100.000€ zusammenpacken können.

3. er ist ehrlich und meldet Einem Multimilliardne-unternehmen das Problem, dass das Unternehmen potentiell hätte Millionen kosten können. er bekommt dafür 7500€




man sieht mal wieder: Ehrlichkeit zahlt sich NICHT aus. Die Signalwirkung die valve hier setzt ist: bloss keine explizite an valve senden sondern irgendwie ausnutzen - lohnt sich am Ende eh mehr.
 
JonnyJonson schrieb:
Ist mit Sicherheit auch so passiert.

Und kurz bevor es auffällt, was wohl spätestens bei der nächsten Abrechnung des Bezahldienstes der Fall ist, stellt man sich als guter Samariter dar und streicht noch ne Belohnung ein.
Zum Vergrößern anklicken....
Wow, also unterstellst Du demjenigen hier jetzt offen, dass er die Schwachstelle auch ausgenutzt hat.

Ob Du es glaubst oder nicht, es gibt tatsächlich so einige Leute, die aktiv auf der Suche nach solchen Schwachstellen sind und sie dann den Unternehmen melden - ganz ohne sie auszunutzen.

Bei solchen Aussagen wie Deiner, bin ich dann ehrlich gesagt immer eher dazu geneigt, dass der Verfasser (in diesem Fall also Du) es so gemacht hätten. Da wären wir dann bei der kriminellen Energie...
 
Incredible Alk schrieb:
Nö, danke. Zusätzliche 75.000 würden mein Leben nicht irre viel verbessern, die ständige Angst vor strafrechtlicher Verfolgung würde es aber wesentlich verschlechtern.
Zum Vergrößern anklicken....

Zumal man mit so einer Sicherheitslücke in der Bewerbung vermutlich relativ sicher einen einigermaßen gut bezahlten Job bekommt, das dürfte sogar mehr wert sein, als die 7500$

Ungenuss_SAW schrieb:
Selbst wenn man die strafrechtlichen Konsequenzen außer Acht lässt macht es wenig Sinn. Der gewonnene Nutzen steigt ja nicht linear zu jedem Euro mehr auf deinem Steam Account. Das Angebot ist nunmal stark beschränkt, was sich auch auf die theoretische Nachfrage auswirkt. Ob ich jetzt 500.000 oder 50 mio am Steamkonto habe ist relativ egal.
Zum Vergrößern anklicken....

Wenn man diesen Pfad einschlägt, dann verkauft man das im Darknet an Leute, die mehr Ahnung davon haben. Ein unendlicher Geld Cheat geht da wohl locker für eine 5 stellige Summe weg, wenn man ihn gut an die richtigen Leute verkaufen kann, eventuell sogar 6 stellig.

Man kann damit ewig Geld erschaffen und solange man es nicht übertreibt (10k+ Accounts im Monat eröffnen) dürfte das nicht auffallen. Man hätte sich damit jedes Spiel herbeischummeln können und es wäre, im Gegensatz zu geklauten Kreditkarten, vermutlich nicht aufgefallen. Das wäre eine Goldgrube, die im Monat zigtausende abwirft.
 
Julian K schrieb:
Wow, also unterstellst Du demjenigen hier jetzt offen, dass er die Schwachstelle auch ausgenutzt hat.

Ob Du es glaubst oder nicht, es gibt tatsächlich so einige Leute, die aktiv auf der Suche nach solchen Schwachstellen sind und sie dann den Unternehmen melden - ganz ohne sie auszunutzen.

Bei solchen Aussagen wie Deiner, bin ich dann ehrlich gesagt immer eher dazu geneigt, dass der Verfasser (in diesem Fall also Du) es so gemacht hätten. Da wären wir dann bei der kriminellen Energie...
Zum Vergrößern anklicken....
Komm in der Realität an kleiner Juli, solche Schwachstellen werden immer ausgenutzt auch wenns an deinem Weltbild rüttelt.
 
Prypjat_no1 schrieb:
Und wie ist es mit Hardware? Und die dann weiter verkaufen?

Außerdem geht es gar nicht darum.
Der Mann hat Valve davor bewahrt einen großen Schaden zu nehmen und diesen mit hohem Aufwand wieder auszubessern und dann kommen da von einem sehr wohlhabenden Unternehmen wie Valve nur 7500 Euro als Belohnung bei rum?
Zum Vergrößern anklicken....
Wenn du dir auf HackerOne mal angesehen hättest, was andere (namhafte) Firmen so an Prämien zahlen, wäre dir aufgefallen, dass die Zahlungen von Valve dazu im Vergleich ziemlich großzügig sind...
 
Steam und Exploits gehen Hand in Hand- Hier nur eines von vielen Videos das auf dem Spiffing Briot Channel zu finden ist. Witere Empfehlung ist die Sache mit den Microsoft Keys auf den Pringles-Dosen. Also nicht innen, sondern außen auf der Unterseite. Smartphonebild + Supermarkt = Microsoft Game Subscription für lau und andere Scherze.

Eingebundener Inhalt
An dieser Stelle findest du externe Inhalte von Youtube. Zum Schutz deiner persönlichen Daten werden externe Einbindungen erst angezeigt, wenn du dies durch Klick auf "Alle externen Inhalte laden" bestätigst: Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit werden personenbezogene Daten an Drittplattformen übermittelt.
Für mehr Informationen besuche die Datenschutz-Seite.

Aber was ist mit Cheatern?

Eingebundener Inhalt
An dieser Stelle findest du externe Inhalte von Youtube. Zum Schutz deiner persönlichen Daten werden externe Einbindungen erst angezeigt, wenn du dies durch Klick auf "Alle externen Inhalte laden" bestätigst: Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit werden personenbezogene Daten an Drittplattformen übermittelt.
Für mehr Informationen besuche die Datenschutz-Seite.

Nicht zu vergessen wie aktuelle Generation von Hardware Cheats, die der Hersteller gar nicht finden kann indem er nach Software scant

Eingebundener Inhalt
An dieser Stelle findest du externe Inhalte von Youtube. Zum Schutz deiner persönlichen Daten werden externe Einbindungen erst angezeigt, wenn du dies durch Klick auf "Alle externen Inhalte laden" bestätigst: Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit werden personenbezogene Daten an Drittplattformen übermittelt.
Für mehr Informationen besuche die Datenschutz-Seite.

Inzwischen auf für Konsole verfügbar, also gg.



Solange die Firmen die Kohle einstreichen ist es ihnen egal wie kaputt ihre Onlineshops und Spiele sind. Gemacht wird erst etwas, wenn der Spieler den BS vom Anti-Cheat nicht mehr glauben und wegbleiben. Der Onlineshooter der Zukunft sollte alle Cheats gleich mit drin haben und jeder weiß es. Cheater gegen Cheater, keiner spielt fair.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

PCGH-Redaktion
WoW: Exploit often, exploit fast - Der Frosch-Farm kehrt in Midnight zurück
Antworten
0
Aufrufe
146
PCGH-Redaktion
PCGH-Redaktion
PCGH_Oliver
News Neuerscheinungen auf Steam: Wie schneiden die Demos von deutschen Spielen ab?
Antworten
4
Aufrufe
292
EM_EN
EM_EN
PCGH-Redaktion
News Steam-Phänomen: Bombenentschärfungsspiel mit Affen überzeugt - aber warum?
Antworten
0
Aufrufe
101
PCGH-Redaktion
PCGH-Redaktion
PCGH-Redaktion
News Gratis auf Steam: Pixel-Abenteuer Gravity Circuit mit 95 Prozent Zustimmung
Antworten
0
Aufrufe
82
PCGH-Redaktion
PCGH-Redaktion
PCGH-Redaktion
News CarX Drift Racing Online 2: Neuer Arcade-Racer auf Steam lässt noch Wünsche offen
Antworten
0
Aufrufe
120
PCGH-Redaktion
PCGH-Redaktion
Oben Unten
Zurück