밸브, 스팀 취약점 보고한 연구원 '외면' 실수 인정

아르스 테크니카에 따르면, Valve는 Steam 시스템에서 두 가지 개별 취약점을 발견한 연구원을 외면한 것이 '실수'였다고 인정했습니다.

연구원은 분명히 밸브의 HackerOne 버그 바운티 프로그램을 통해 버그를 보고했지만 그의 보고서는 "범위를 벗어난 것으로 분류"되어 거부되었습니다. 회사는 보고서의 잘못된 분류가 실수였다는 입장이다.

아래 문제에 대한 Valve의 전체 성명을 읽을 수 있습니다.

우리는 또한 버그를 발견한 연구원이 HackerOne 버그 포상금 프로그램을 통해 부정확하게 거절되었고 그의 보고서가 범위를 벗어난 것으로 분류되었음을 알고 있습니다. 이것은 실수였습니다.

우리의 HackerOne 프로그램 규칙은 Steam이 해당 로컬 사용자로 사용자의 컴퓨터에 이전에 설치된 맬웨어를 실행하라는 지시를 받았다는 보고를 제외하기 위한 것입니다. 대신 규칙에 대한 잘못된 해석으로 인해 Steam을 통해 로컬 권한 상승도 수행한 더 심각한 공격이 배제되었습니다.

이러한 문제가 범위 내에 있으며 보고되어야 함을 명시적으로 명시하도록 HackerOne 프로그램 규칙을 업데이트했습니다. 지난 263년 동안 우리는 커뮤니티의 500명의 보안 연구원들과 협력하여 약 675,000개의 보안 문제를 식별하고 수정하는 데 도움을 주어 XNUMX달러 이상의 현상금을 지급했습니다. 우리는 HackerOne 프로그램을 통해 우리 제품의 보안을 향상시키기 위해 보안 커뮤니티와 계속 협력하기를 기대합니다.

특정 연구원에 대해서는 상황별 세부사항을 검토하여 적절한 조치를 취하고 있습니다. 현재로서는 각 상황의 세부 사항이나 계정 상태에 대해 논의하지 않을 것입니다.

ARS Technica 이 성명서는 보안 연구원 Vasily Kravets가 Valve가 HackerOne을 통해 제출한 버그 보고서를 더 이상 받지 않을 것이라는 정보를 받은 지 이틀 만에 나온 것이라고 합니다.

해커가 이전에 손상된 시스템에 액세스할 수 있도록 하는 두 가지 개별 Steam 취약점에 대한 Kravets의 원래 보고서는 Valve에서 거부했으며 범위를 벗어난 것으로 간주했습니다.

밸브의 성명이 발표된 같은 날인 목요일, 크라베츠는 Ars와의 인터뷰에서 "아직 밸브로부터 어떤 연락도 받지 못했다"고 말했다.