Valve admet avoir commis une erreur en « refusant » le chercheur qui a signalé les vulnérabilités de Steam
2 minute. lis
Publié le
Partagez cet article
Améliorer ce guide
Lisez notre page de divulgation pour savoir comment vous pouvez aider MSPoweruser à soutenir l'équipe éditoriale En savoir plus
Selon Ars Technica, Valve a admis dans un que refuser un chercheur qui a découvert deux vulnérabilités distinctes dans le système de Steam était "une erreur".
Le chercheur a apparemment signalé les bogues via le programme de primes de bogues HackerOne de Valve, mais son rapport a été «classé comme hors de portée» et a été rejeté. La société affirme que la mauvaise classification du rapport était une erreur.
Vous pouvez lire l'intégralité de la déclaration de Valve sur le problème ci-dessous :
Nous sommes également conscients que le chercheur qui a découvert les bogues a été renvoyé à tort par le biais de notre programme de primes de bogues HackerOne, où son rapport a été classé comme hors de portée. C'était une erreur.
Les règles de notre programme HackerOne visaient uniquement à exclure les signalements indiquant que Steam avait pour instruction de lancer un logiciel malveillant précédemment installé sur la machine d'un utilisateur en tant qu'utilisateur local. Au lieu de cela, une mauvaise interprétation des règles a également conduit à l'exclusion d'une attaque plus sérieuse qui a également effectué une escalade de privilèges locaux via Steam.
Nous avons mis à jour les règles de notre programme HackerOne pour indiquer explicitement que ces problèmes sont concernés et doivent être signalés. Au cours des deux dernières années, nous avons collaboré avec et récompensé 263 chercheurs en sécurité de la communauté en nous aidant à identifier et à corriger environ 500 problèmes de sécurité, en versant plus de 675,000 XNUMX $ en primes. Nous sommes impatients de continuer à travailler avec la communauté de la sécurité pour améliorer la sécurité de nos produits grâce au programme HackerOne.
En ce qui concerne les chercheurs spécifiques, nous examinons les détails de chaque situation pour déterminer les actions appropriées. Nous n'allons pas discuter des détails de chaque situation ou de l'état de leurs comptes pour le moment.
Ars Technica disent que la déclaration est intervenue deux jours seulement après que le chercheur en sécurité Vasily Kravets a été informé que Valve ne recevrait plus aucun rapport de bogue déposé via HackerOne de sa part.
Les rapports originaux de Kravets concernant deux vulnérabilités Steam individuelles qui permettraient aux pirates d'accéder à des systèmes précédemment compromis ont été rejetés par Valve et jugés hors de portée.
Jeudi, le jour même de la publication de la déclaration de Valve, Kravets a déclaré à Ars qu'il n'avait "pas encore reçu de communication de Valve et qu'il restait exclu de la section de rapport de bogues de Valve de HackerOne".
