Valve priznaje da je pogriješio 'odbacivši' istraživača koji je prijavio ranjivosti Steama
2 min. čitati
Objavljeno na
Podijelite ovaj članak
Poboljšajte ovaj vodič
Pročitajte našu stranicu za otkrivanje kako biste saznali kako možete pomoći MSPoweruseru da održi urednički tim Čitaj više
Prema Ars Technici, Valve je priznao da je odbijanje istraživača koji je otkrio dvije odvojene ranjivosti u Steamovom sustavu bila 'pogreška'.
Istraživač je očito prijavio bugove kroz Valveov HackerOne program nagrađivanja bugova, ali je njegovo izvješće "klasificirano kao izvan dosega" i odbijeno. Iz tvrtke kažu da je pogrešna klasifikacija izvješća bila pogreška.
Cijelu Valveovu izjavu o ovom pitanju možete pročitati u nastavku:
Također smo svjesni da je istraživač koji je otkrio bugove pogrešno odbijen kroz naš HackerOne program za nagrađivanje bugova, gdje je njegovo izvješće klasificirano kao izvan dosega. Ovo je bila pogreška.
Naša su pravila programa HackerOne bila namijenjena samo isključivanju izvješća o tome da Steam dobiva upute da pokrene prethodno instalirani zlonamjerni softver na korisnikovom stroju kao taj lokalni korisnik. Umjesto toga, pogrešno tumačenje pravila također je dovelo do isključenja ozbiljnijeg napada koji je također izveo lokalnu eskalaciju privilegija putem Steama.
Ažurirali smo pravila programa HackerOne kako bismo izričito naveli da su ti problemi u opsegu i da ih treba prijaviti. U protekle dvije godine surađivali smo i nagradili 263 istraživača sigurnosti u zajednici koji su nam pomogli identificirati i ispraviti otprilike 500 sigurnosnih problema, isplativši više od 675,000 dolara nagrade. Radujemo se nastavku suradnje sa sigurnosnom zajednicom kako bismo poboljšali sigurnost naših proizvoda kroz HackerOne program.
Što se tiče konkretnih istraživača, pregledavamo pojedinosti svake situacije kako bismo odredili odgovarajuće radnje. U ovom trenutku nećemo raspravljati o pojedinostima svake situacije ili statusu njihovih računa.
Ars Technica kažu da je izjava stigla samo dva dana nakon što je sigurnosni istraživač Vasily Kravets obaviješten da Valve više neće primati nikakva izvješća o greškama podnesena putem HackerOnea od njega.
Kravetsova izvorna izvješća o dvije pojedinačne Steam ranjivosti koje bi hakerima omogućile pristup prethodno ugroženim sustavima Valve je odbacio i smatrao ih izvan dosega.
U četvrtak, istog dana kada je objavljena Valveova izjava, Kravets je rekao Arsu da "još nije primio nikakvu komunikaciju od Valvea i da je ostao zaključan iz odjeljka za izvješćivanje o greškama Valvea na HackerOneu."
