Valve、Steamの脆弱性を報告した研究者を「無視」したのは間違いだったと認める

ArsTechnicaによると、Valveは、SteamのシステムにXNUMXつの別々の脆弱性を発見した研究者を引き離すことは「間違い」であったことを認めています。

研究者は、ValveのHackerOneバグバウンティプログラムを通じてバグを報告したようですが、彼の報告は「範囲外として分類」され、却下されました。 同社によれば、報告書の誤分類は間違いだったという。

以下の問題に関するValveのステートメント全体を読むことができます。

また、バグを発見した研究者が、HackerOneバグバウンティプログラムを通じて誤って却下されたことも認識しています。このプログラムでは、彼のレポートは範囲外として分類されていました。 これは間違いでした。

私たちのHackerOneプログラムルールは、以前にインストールされたマルウェアをそのローカルユーザーとしてユーザーのマシンに起動するように指示されたSteamのレポートを除外することのみを目的としていました。 代わりに、ルールの誤解により、Steamを介したローカル特権の昇格も実行するより深刻な攻撃が除外されました。

HackerOneプログラムのルールを更新して、これらの問題は範囲内であり、報告する必要があることを明示的に示しています。 過去263年間で、コミュニティの500人のセキュリティ研究者と協力して報酬を提供し、約675,000のセキュリティ問題を特定して修正し、XNUMXドル以上の報奨金を支払いました。 今後もセキュリティコミュニティと協力して、HackerOneプログラムを通じて製品のセキュリティを向上させることを楽しみにしています。

特定の研究者については、それぞれの状況の詳細を検討し、適切な行動を決定しています。 現時点では、各状況の詳細やアカウントのステータスについては説明しません。

Ars Technicaの この声明は、セキュリティ研究者のVasily Kravetsが、HackerOneを通じて提出されたバグレポートをValveが彼から受け取らないことを通知されてからわずかXNUMX日後に出されたと言います。

ハッカーが以前に侵害されたシステムにアクセスできるようにするXNUMXつの個別のSteam脆弱性に関するKravetsの元のレポートは、Valveによって拒否され、範囲外と見なされました。

木曜日、Valveの声明が発表されたのと同じ日に、KravetsはArsに、「Valveからの通信はまだ受信しておらず、HackerOneのValveバグ報告セクションから締め出されたままである」と語った。