SIKKERHET

Fant heftig hull i skytjeneste. Nå betaler selskapet ham 170 000 kroner i «bug bounty»

Illustrasjonsfoto.
Illustrasjonsfoto. Foto: George Thomas/Flickr
14. nov. 2018 - 20:00

Sikkerhetsforskeren Artem Moskowsky oppdaget et hull i Steam som lot ham hamstre lisensnøkler fra intetanende brukere. Dermed fikk han tilgang til en rekke spill uten å betale for dem. Sikkerhetshullet blir omtalt som kritisk. Det skriver The Register.

Steam betaler nå den russiske mannen 172 000 kroner i «bug bounty».

Endret parameter

Hullet lot Moskowsky manipulere brukergrensesnitt-forespørsler (API). Dermed fikk han lisensnøkler i retur. 

– Jeg klarte å endre eierskaps-verifikatoren ved å endre ett parameter. Dermed kunne jeg taste inn et parameter, og få et vilkårlig sett med lisensnøkler, sier han til The Register. 

Russeren opplyser til britiske The Register at han fikk tilgang til blant annet 36 000 lisensnøkler til spillet Portal 2. 

Rapportert 7. august

Hullet ble rapportert via hackerportalen Hackerone 7. august i år. Valve, som står bak Steam, rettet det først for 14 dager siden. 

Den finske sikkerhetsguruen Mikko Hyppönen snakket varmt om «bug bounties» – belønning for å oppdage sikkerhetshull – fra scenen under Telia IoT symposium i september i år.

Finske Mikko Hyppönen mener utbetaling av finnerlønn for å avdekke sikkerhetshull er et gode flere nordiske selskaper bør benytte seg av. <i>Foto:  Sarah McDonald Gerhardsen</i>
Finske Mikko Hyppönen mener utbetaling av finnerlønn for å avdekke sikkerhetshull er et gode flere nordiske selskaper bør benytte seg av. Foto:  Sarah McDonald Gerhardsen

Han mener det er bedre å benytte hackere som en ressurs, fremfor å frykte dem. 

Finnerlønn er nyttig

Hyppönen poengterte at det er overraskende få selskaper i de nordiske landene som opererer med slik finnerlønn.

Han forklarte at dette er normen i USA, og at alle de store selskapene, som Google, Apple og Microsoft, gjør dette. 

– Slik forvandler du fienden til en ressurs som jobber for deg. Og det er massevis av mennesker der ute som er interessert i å gjøre dette, sa han i september

Ble varslet om hull, uten å gjøre noe

I begynnelsen av mars i år ble det varslet om et alvorlig sikkerhetshull i IT-systemene som forvalter sensitiv informasjon om over to millioner medlemmer hos Norges idrettsforbund.

Da han først varslet ble ikke 17-år gamle Eivind Limstrand tatt seriøst, og sikkerhetshullet ble ikke stengt før etter fem måneder. 

Idrettsforbundet opplyste til digi.no de ikke betaler «finnerlønn». Siden forbundet oppfattet at Limstrand ikke var ute etter å ivareta idrettens felles løsninger, ble det heller ikke gjort noe mer med saken i mars. 

Microsoft betaler store summer

Eivind Limstrand jobber som IT-lærling i Teknisk Ukeblad Media. I mars varslet han om et sikkerhetshull som eksponerer to millioner nordmenn, men han følte at han ikke ble tatt seriøst. <i>Foto:  Martin Braathen Røise</i>
Eivind Limstrand jobber som IT-lærling i Teknisk Ukeblad Media. I mars varslet han om et sikkerhetshull som eksponerer to millioner nordmenn, men han følte at han ikke ble tatt seriøst. Foto:  Martin Braathen Røise

 – Slik vi forstår korrespondansen var det heller ikke et tilbud om å hjelpe oss å løse et eventuelt sikkerhetshull.

– Vi opplevde dette som et forsøk på å ta seg betalt for å avsløre et sikkerhetshull, ikke til å sette inn tiltak som løser problemet, sa kommunikasjonsansvarlig Finn Aagaard til digi.no i september

Blant annet Microsoft betaler saftige summer for å avdekke hull i tjenestene deres. Selskapet betaler fra 4 000 til 800 000 kroner for avsløringer om feil i følgende innloggingstjenester.

  • login.windows.net
  • login.microsoftonline.com
  • login.live.com
  • account.live.com
  • account.windowsazure.com
  • account.activedirectory.windowsazure.com
  • credential.activedirectory.windowsazure.com
  • portal.office.com
  • passwordreset.microsoftonline.com
  • Microsoft Authenticator for iOS and Android applications

Det amerikanske selskapet stiller selvfølgelig en del krav om finnerlønn skal utbetales:

Sikkerhetshullet må være tidligere ukjent for selskapet, og det må være mulig å reprodusere.

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.
Tekjobb
Se flere jobber
Hvordan lage en stillingsannonse på Tekjobb?
Les mer
Hvordan lage en stillingsannonse på Tekjobb?
Tekjobb
Få annonsen din her og nå frem til de beste kandidatene
Lag en bedriftsprofil
En tjeneste fra