Valve přiznává, že udělalo chybu, když „odvrátilo“ výzkumníka, který nahlásil zranitelnost Steamu
2 min. číst
Publikované dne
Sdílejte tento článek
Vylepšete tuto příručku
Přečtěte si naši informační stránku a zjistěte, jak můžete pomoci MSPoweruser udržet redakční tým Dozvědět se více
Podle Ars TechnicaValve přiznalo, že odmítnout výzkumníka, který objevil dvě samostatné zranitelnosti v systému Steam, byla „chyba“.
Výzkumník zjevně nahlásil chyby prostřednictvím programu HackerOne od společnosti Valve, ale jeho zpráva byla „klasifikována jako mimo rozsah“ a byla zamítnuta. Společnost tvrdí, že chybné zařazení zprávy bylo chybou.
Celé vyjádření Valve k problému si můžete přečíst níže:
Jsme si také vědomi toho, že výzkumník, který objevil chyby, byl nesprávně odmítnut prostřednictvím našeho programu HackerOne bug bounty, kde byla jeho zpráva klasifikována jako mimo rozsah. To byla chyba.
Naše pravidla programu HackerOne byla určena pouze k vyloučení zpráv o tom, že Steam dostal pokyn ke spuštění dříve nainstalovaného malwaru na počítači uživatele jako místní uživatel. Místo toho nesprávná interpretace pravidel také vedla k vyloučení vážnějšího útoku, který také provedl eskalaci místních oprávnění prostřednictvím Steamu.
Aktualizovali jsme naše pravidla programu HackerOne tak, aby výslovně uváděla, že tyto problémy jsou v rozsahu a měly by být hlášeny. V posledních dvou letech jsme spolupracovali a odměnili 263 bezpečnostních výzkumníků v komunitě, kteří nám pomohli identifikovat a opravit zhruba 500 bezpečnostních problémů, přičemž jsme vyplatili odměny přes 675,000 XNUMX USD. Těšíme se na další spolupráci s bezpečnostní komunitou na zlepšení zabezpečení našich produktů prostřednictvím programu HackerOne.
Pokud jde o konkrétní výzkumné pracovníky, přezkoumáváme podrobnosti každé situace, abychom určili vhodná opatření. V tuto chvíli nebudeme diskutovat o podrobnostech každé situace nebo stavu jejich účtů.
Ars Technica říkají, že prohlášení přišlo jen dva dny poté, co byl bezpečnostní výzkumník Vasily Kravets informován, že Valve od něj již nebude dostávat žádné zprávy o chybách podané prostřednictvím HackerOne.
Původní Kravetsovy zprávy týkající se dvou jednotlivých zranitelností Steamu, které by hackerům umožnily přístup k dříve kompromitovaným systémům, byly společností Valve zamítnuty a považovány za mimo rozsah.
Ve čtvrtek, ve stejný den, kdy bylo vydáno prohlášení Valve, Kravets řekl Arsovi, že „ještě nedostal žádnou komunikaci od Valve a že zůstal zamčený v sekci hlášení chyb Valve na HackerOne“.
