Valve מודה שעשתה טעות בכך ש'הסתובב' חוקר שדיווח על פגיעויות ב-Steam
2 דקות לקרוא
פורסם ב
שתף את המאמר הזה
שפר את המדריך הזה
קרא את דף הגילויים שלנו כדי לגלות כיצד תוכל לעזור ל-MSPoweruser לקיים את צוות העריכה קראו עוד
לפי Ars Technica, Valve הודתה במשפט שלפניית חוקר שגילה שתי נקודות תורפה נפרדות במערכת של Steam הייתה 'טעות'.
החוקר ככל הנראה דיווח על הבאגים דרך תוכנית ה-Bag Bounty HackerOne של Valve, אך הדו"ח שלו "סווג מחוץ לתחום" ונדחה. בחברה אומרים שהסיווג השגוי של הדוח היה טעות.
אתה יכול לקרוא את כל ההצהרה של Valve בנושא להלן:
אנו גם מודעים לכך שהחוקר שגילה את הבאגים נדחה בטעות באמצעות תוכנית ה-Bag Bounte HackerOne שלנו, שם הדיווח שלו סווג כבלתי תחום. זו הייתה טעות.
כללי תוכנית HackerOne שלנו נועדו רק לא לכלול דיווחים על כך ש-Steam קיבל הוראה להשיק תוכנות זדוניות שהותקנו בעבר במחשב של משתמש בתור אותו משתמש מקומי. במקום זאת, פרשנות שגויה של הכללים הובילה גם להחרגה של מתקפה חמורה יותר שביצעה גם הסלמה של הרשאות מקומיות באמצעות Steam.
עדכנו את כללי תוכנית HackerOne שלנו כדי לציין במפורש שהבעיות הללו הן בהיקף ויש לדווח עליהן. בשנתיים האחרונות, שיתפנו פעולה עם ותגמלנו 263 חוקרי אבטחה בקהילה שעזרנו לנו לזהות ולתקן כ-500 בעיות אבטחה, תוך שילמו מעל 675,000 דולר בהטבות. אנו מצפים להמשיך לעבוד עם קהילת האבטחה כדי לשפר את האבטחה של המוצרים שלנו באמצעות תוכנית HackerOne.
בהתייחס לחוקרים הספציפיים, אנו בודקים את הפרטים של כל מצב כדי לקבוע את הפעולות המתאימות. אנחנו לא מתכוונים לדון בפרטים של כל מצב או בסטטוס החשבונות שלהם בשלב זה.
Ars Technica אומרים שההצהרה הגיעה יומיים בלבד לאחר שנודע לחוקר האבטחה ואסילי קראבץ ש-Valve לא יקבל ממנו עוד דיווחי באגים שיוגשו דרך HackerOne.
הדיווחים המקוריים של Kravets בנוגע לשתי פרצות Steam בודדות שיאפשרו להאקרים גישה למערכות שנפרצו בעבר נדחו על ידי Valve ונחשבו מחוץ לתחום.
ביום חמישי, באותו יום שבו הוצאה ההצהרה של Valve, אמר Kravets ל-Ars כי הוא "עדיין לא קיבל שום תקשורת מ-Valve ושהוא נשאר נעול מחוץ למדור דיווח באגים של Valve של HackerOne".
