Valve اعتراف میکند که با دور زدن محققی که آسیبپذیریهای Steam را گزارش کرده، اشتباه کرده است
2 دقیقه خواندن
منتشر شده در
صفحه افشای ما را بخوانید تا بدانید چگونه می توانید به MSPoweruser کمک کنید تا تیم تحریریه را حفظ کند ادامه مطلب
به گزارش Ars TechnicaValve اعتراف کرده است که دور زدن محققی که دو آسیبپذیری جداگانه را در سیستم Steam کشف کرده بود یک اشتباه بوده است.
محقق ظاهراً این اشکالات را از طریق برنامه پاداش باگ HackerOne Valve گزارش کرده بود، اما گزارش او "به عنوان خارج از محدوده طبقه بندی شده بود" و رد شد. این شرکت می گوید که طبقه بندی اشتباه گزارش یک اشتباه بوده است.
می توانید بیانیه کامل Valve در مورد این مشکل را در زیر بخوانید:
ما همچنین می دانیم که محققی که اشکالات را کشف کرده بود، از طریق برنامه جایزه باگ HackerOne ما به اشتباه نادیده گرفته شد، جایی که گزارش او به عنوان خارج از محدوده طبقه بندی شد. این یک اشتباه بود.
قوانین برنامه HackerOne ما صرفاً برای حذف گزارشهایی از دستور Steam برای راهاندازی بدافزار نصبشده قبلی روی دستگاه کاربر به عنوان کاربر محلی بود. در عوض، تفسیر نادرست قوانین همچنین منجر به حذف یک حمله جدیتر شد که همچنین امتیازات محلی را از طریق Steam افزایش داد.
ما قوانین برنامه HackerOne خود را بهروزرسانی کردهایم تا صریحاً بیان کنیم که این مسائل در محدوده هستند و باید گزارش شوند. در دو سال گذشته، ما با 263 محقق امنیتی در جامعه همکاری کردهایم و به ما جایزه دادهایم که به ما کمک کردند تا حدود 500 مشکل امنیتی را شناسایی و اصلاح کنیم و بیش از 675,000 دلار جایزه پرداخت کردیم. ما مشتاقانه منتظر ادامه همکاری با جامعه امنیتی برای بهبود امنیت محصولات خود از طریق برنامه HackerOne هستیم.
در رابطه با محققین خاص، در حال بررسی جزئیات هر موقعیت برای تعیین اقدامات مناسب هستیم. ما در حال حاضر قصد نداریم در مورد جزئیات هر موقعیت یا وضعیت حساب های آنها صحبت کنیم.
ARS TECHNICA می گویند که این بیانیه تنها دو روز پس از آن منتشر شد که محقق امنیتی واسیلی کراوتس مطلع شد که Valve دیگر هیچ گزارش اشکالی را که از طریق HackerOne از او ارسال شده است دریافت نخواهد کرد.
گزارشهای اصلی Kravets در مورد دو آسیبپذیری فردی Steam که به هکرها امکان دسترسی به سیستمهای در معرض خطر قبلی را میداد، توسط Valve رد شد و خارج از محدوده تلقی شد.
روز پنجشنبه، همان روزی که بیانیه Valve صادر شد، کراوتس به Ars گفت که «هنوز هیچ گونه ارتباطی از Valve دریافت نکرده است و از بخش گزارشدهی باگ Valve در HackerOne قفل شده است».