Valve mengaku melakukan kesalahan dengan 'menolak' peneliti yang melaporkan kerentanan Steam
2 menit Baca
Ditampilkan di
Bagikan artikel ini
Sempurnakan panduan ini
Baca halaman pengungkapan kami untuk mengetahui bagaimana Anda dapat membantu MSPoweruser mempertahankan tim editorial Baca lebih lanjut
Menurut Ars Technica, Valve telah mengakui bahwa menolak seorang peneliti yang menemukan dua kerentanan terpisah dalam sistem Steam adalah 'kesalahan'.
Peneliti rupanya melaporkan bug melalui program karunia bug HackerOne Valve, tetapi laporannya "diklasifikasikan sebagai di luar ruang lingkup" dan ditolak. Perusahaan mengatakan bahwa kesalahan klasifikasi laporan adalah kesalahan.
Anda dapat membaca seluruh pernyataan Valve tentang masalah di bawah ini:
Kami juga menyadari bahwa peneliti yang menemukan bug itu salah ditolak melalui program hadiah bug HackerOne kami, di mana laporannya diklasifikasikan sebagai di luar cakupan. Ini adalah kesalahan.
Aturan program HackerOne kami dimaksudkan hanya untuk mengecualikan laporan Steam yang diinstruksikan untuk meluncurkan malware yang diinstal sebelumnya pada mesin pengguna sebagai pengguna lokal tersebut. Sebaliknya, salah tafsir aturan juga menyebabkan pengecualian serangan yang lebih serius yang juga melakukan eskalasi hak lokal melalui Steam.
Kami telah memperbarui aturan program HackerOne kami untuk secara eksplisit menyatakan bahwa masalah ini ada dalam cakupan dan harus dilaporkan. Dalam dua tahun terakhir, kami telah berkolaborasi dengan dan memberi penghargaan kepada 263 peneliti keamanan di komunitas yang membantu kami mengidentifikasi dan memperbaiki sekitar 500 masalah keamanan, membayar lebih dari $675,000 dalam bentuk hadiah. Kami berharap dapat terus bekerja sama dengan komunitas keamanan untuk meningkatkan keamanan produk kami melalui program HackerOne.
Sehubungan dengan peneliti khusus, kami meninjau detail setiap situasi untuk menentukan tindakan yang tepat. Kami tidak akan membahas detail setiap situasi atau status akun mereka saat ini.
Technica mengatakan bahwa pernyataan itu datang hanya dua hari setelah peneliti keamanan Vasily Kravets diberitahu bahwa Valve tidak akan lagi menerima laporan bug yang diajukan melalui HackerOne darinya.
Laporan asli Kravets mengenai dua kerentanan Steam individu yang memungkinkan peretas mengakses sistem yang sebelumnya disusupi ditolak oleh Valve dan dianggap di luar jangkauan.
Pada hari Kamis, hari yang sama ketika pernyataan Valve dikeluarkan, Kravets mengatakan kepada Ars bahwa dia “belum menerima komunikasi apa pun dari Valve dan bahwa dia tetap terkunci dari bagian pelaporan bug Valve di HackerOne.”
