Valve indrømmer, at den begik en fejl ved at 'afvise' forsker, der rapporterede Steam-sårbarheder
2 min. Læs
Udgivet den
Del denne artikel
Forbedre denne vejledning
Læs vores oplysningsside for at finde ud af, hvordan du kan hjælpe MSPoweruser med at opretholde redaktionen Læs mere
Ifølge Ars Technica, har Valve indrømmet, at det at afvise en forsker, der opdagede to separate sårbarheder i Steams system, var 'en fejltagelse'.
Forskeren rapporterede tilsyneladende fejlene gennem Valves HackerOne bug bounty-program, men fik sin rapport "klassificeret som uden for scope" og blev afvist. Virksomheden siger, at den forkerte klassificering af rapporten var en fejl.
Du kan læse hele Valves udtalelse om spørgsmålet nedenfor:
Vi er også opmærksomme på, at den forsker, der opdagede fejlene, fejlagtigt blev afvist gennem vores HackerOne bug bounty-program, hvor hans rapport blev klassificeret som uden for scope. Dette var en fejl.
Vores HackerOne-programregler var kun beregnet til at udelukke rapporter om Steam, der blev instrueret i at starte tidligere installeret malware på en brugers maskine som den lokale bruger. I stedet førte fejlfortolkning af reglerne også til udelukkelse af et mere alvorligt angreb, der også udførte lokal privilegieeskalering gennem Steam.
Vi har opdateret vores HackerOne-programregler for eksplicit at angive, at disse problemer er i omfang og bør rapporteres. I de sidste to år har vi samarbejdet med og belønnet 263 sikkerhedsforskere i fællesskabet, der har hjulpet os med at identificere og rette omkring 500 sikkerhedsproblemer og udbetalt over $675,000 i dusører. Vi ser frem til at fortsætte med at arbejde med sikkerhedsfællesskabet for at forbedre sikkerheden for vores produkter gennem HackerOne-programmet.
Med hensyn til de specifikke forskere gennemgår vi detaljerne i hver situation for at bestemme de passende handlinger. Vi vil ikke diskutere detaljerne i hver enkelt situation eller status for deres konti på nuværende tidspunkt.
Ars Technica siger, at erklæringen kom blot to dage efter, at sikkerhedsforsker Vasily Kravets blev informeret om, at Valve ikke længere ville modtage nogen fejlrapporter indsendt gennem HackerOne fra ham.
Kravets' originale rapporter om to individuelle Steam-sårbarheder, der ville give hackere adgang til tidligere kompromitterede systemer, blev afvist af Valve og blev anset for at være uden for scope.
Torsdag, samme dag som Valves erklæring blev udstedt, fortalte Kravets Ars, at han "endnu ikke havde modtaget nogen kommunikation fra Valve, og at han forblev låst ude af Valve-fejlrapporteringssektionen af HackerOne."
