Valve ammette di aver commesso un errore "allontanando" il ricercatore che aveva segnalato le vulnerabilità di Steam

Secondo Ars Technica, Valve ha ammesso che respingere un ricercatore che ha scoperto due vulnerabilità separate nel sistema di Steam è stato "un errore".

Apparentemente il ricercatore ha segnalato i bug tramite il programma di ricompense dei bug HackerOne di Valve, ma il suo rapporto è stato "classificato come fuori portata" ed è stato respinto. La società afferma che l'errata classificazione del rapporto è stato un errore.

Puoi leggere l'intera dichiarazione di Valve sulla questione di seguito:

Siamo anche consapevoli del fatto che il ricercatore che ha scoperto i bug è stato erroneamente respinto attraverso il nostro programma di ricompense dei bug di HackerOne, in cui la sua segnalazione è stata classificata come fuori portata. Questo è stato un errore.

Le nostre regole del programma HackerOne avevano lo scopo solo di escludere i rapporti di Steam incaricati di avviare malware precedentemente installato sulla macchina di un utente come quell'utente locale. Invece, l'errata interpretazione delle regole ha portato anche all'esclusione di un attacco più grave che ha eseguito anche l'escalation dei privilegi locali tramite Steam.

Abbiamo aggiornato le regole del nostro programma HackerOne per affermare esplicitamente che questi problemi rientrano nell'ambito di applicazione e dovrebbero essere segnalati. Negli ultimi due anni, abbiamo collaborato e premiato 263 ricercatori di sicurezza nella comunità, aiutandoci a identificare e correggere circa 500 problemi di sicurezza, pagando oltre $ 675,000 in ricompense. Non vediamo l'ora di continuare a lavorare con la comunità della sicurezza per migliorare la sicurezza dei nostri prodotti attraverso il programma HackerOne.

Per quanto riguarda i ricercatori specifici, stiamo rivedendo i dettagli di ciascuna situazione per determinare le azioni appropriate. Al momento non discuteremo i dettagli di ogni situazione o lo stato dei loro account.

Ars Technica dire che la dichiarazione è arrivata appena due giorni dopo che il ricercatore di sicurezza Vasily Kravets è stato informato che Valve non avrebbe più ricevuto da lui alcuna segnalazione di bug presentata tramite HackerOne.

I rapporti originali di Kravets su due singole vulnerabilità di Steam che avrebbero consentito agli hacker di accedere a sistemi precedentemente compromessi sono stati respinti da Valve e considerati fuori portata.

Giovedì, lo stesso giorno in cui è stata rilasciata la dichiarazione di Valve, Kravets ha detto ad Ars che "non aveva ancora ricevuto alcuna comunicazione da Valve e che era rimasto bloccato dalla sezione di segnalazione dei bug di Valve di HackerOne".