Wie Security Week berichtet, hat Riot Games, Entwickler des beliebten Computerspiels League of Legends, vor kurzem einige Details über seine Pläne für ein verbessertes Bug Bounty Programm veröffentlicht. Das Programm existiert bereits seit April 2013, war bislang aber nur für wenige Sicherheitsexperten zugänglich. Das soll sich nun ändern.
Insgesamt haben die eifrigen Fehlerfinder bereits 75 Schwachstellen entdeckt, hierunter Exploits, durch die man die Rechner anderer Nutzer zum Absturz bringen konnte, Probleme bei der Visualisierung sowie Fehler, durch die man in Foren andere Spieler imitieren konnte. Bislang hat Riot Games Belohnungen im Wert von insgesamt 100.000 Dollar ausgezahlt.
Nun soll das Bug Bounty Programm für eine breitere Masse an Sicherheitsexperten und -Enthusiasten geöffnet werden. Ausschlag gab eine Sicherheitslücke, die der australische Jamieson O’Reilly gefunden hatte. Durch sie war es möglich, die Identität eines anderen Nutzers zu imitieren. Zwar bestand keine Gefahr eines direkten Zugriffs auf den Account eines Spielers, allerdings hätte die Schwachstelle für Phishing-Kampagnen missbraucht werden können.
Weil weder ein öffentlich zugängliches Fehlermelde-Programm noch eine offizielle E-Mail-Adresse des Sicherheitsteams von Riot Games existierte, sendete der 24-Jährige Experte eine Nachricht an die E-Mail-Adresse für generelle Anfragen.
Es dauerte eine Woche, bis die Informationen an die richtige Stelle gelangten und die Behebung des Fehlers in Angriff genommen werden konnte. Im offiziellen Riot-Games-Blogeintrag schrieb das Unternehmen: „Der erste Schritt war zuzugeben, dass wir ein Problem haben“.
Hier erklärte das Team von Riot Games zudem, dass mangelnde Möglichkeiten, einen Fehler zu melden, zu weitreichenden Schwierigkeiten führen können: „Wenn wir nicht zuhören, kann das Experten mit guten Absichten frustrieren und sie dazu bringen, ihre Exploits im Internet zu veröffentlichen, um unsere Aufmerksamkeit zu erregen. Das ist zum einen für den Experten nicht schön, zum anderen könnte das bei unseren Nutzern zu Problemen führen.“ Mit der Erweiterung des Bug Bounty Programms sollen solche Vorfälle verhindert und League of Legend Spieler noch besser geschützt werden.
Zwar ist das Unternehmen zum derzeitigen Zeitpunkt noch nicht bereit, die Plattform öffentlich zu machen, da zunächst die verschiedenen Abläufe geklärt werden müssen, doch Riot Games verspricht, die Nutzer auf dem Laufenden zu halten. Und bis zur Verwirklichung des öffentlich zugänglichen Bug Bounty Programms steht eine E-Mail-Adresse bereit, über die Finder eines Bugs das Sicherheitsteam direkt kontaktieren können: soc@riotgames.com.