Valve geeft toe dat het een fout heeft gemaakt door een onderzoeker die Steam-kwetsbaarheden meldde 'af te wijzen'
2 minuut. lezen
Uitgegeven op
deel dit artikel
Verbeter deze handleiding
Lees onze openbaarmakingspagina om erachter te komen hoe u MSPoweruser kunt helpen het redactieteam te ondersteunen Lees meer
Volgens Ars Technica, heeft Valve toegegeven dat het afwijzen van een onderzoeker die twee afzonderlijke kwetsbaarheden in het Steam-systeem ontdekte, 'een vergissing' was.
De onderzoeker rapporteerde de bugs blijkbaar via Valve's HackerOne bug bounty-programma, maar had zijn rapport "geclassificeerd als buiten het bereik" en werd afgewezen. Het bedrijf zegt dat de verkeerde classificatie van het rapport een vergissing was.
U kunt de volledige verklaring van Valve over het probleem hieronder lezen:
We zijn ons er ook van bewust dat de onderzoeker die de bugs ontdekte ten onrechte werd afgewezen via ons HackerOne bug bounty-programma, waar zijn rapport werd geclassificeerd als buiten het bereik. Dit was een vergissing.
Onze HackerOne-programmaregels waren alleen bedoeld om meldingen uit te sluiten dat Steam de opdracht kreeg om eerder geïnstalleerde malware op de computer van een gebruiker te starten als die lokale gebruiker. In plaats daarvan leidde een verkeerde interpretatie van de regels ook tot de uitsluiting van een serieuzere aanval die ook lokale privilege-escalatie via Steam uitvoerde.
We hebben onze HackerOne-programmaregels bijgewerkt om expliciet te vermelden dat deze problemen binnen de reikwijdte vallen en moeten worden gemeld. In de afgelopen twee jaar hebben we samengewerkt met en beloond met 263 beveiligingsonderzoekers in de gemeenschap die ons hebben geholpen bij het identificeren en corrigeren van ongeveer 500 beveiligingsproblemen, waarbij we meer dan $ 675,000 aan premies hebben uitbetaald. We kijken ernaar uit om samen met de beveiligingsgemeenschap te blijven werken om de beveiliging van onze producten te verbeteren via het HackerOne-programma.
Met betrekking tot de specifieke onderzoekers bekijken we de details van elke situatie om de juiste acties te bepalen. We gaan op dit moment niet de details van elke situatie of de status van hun accounts bespreken.
Ars Technica zeggen dat de verklaring slechts twee dagen kwam nadat beveiligingsonderzoeker Vasily Kravets was geïnformeerd dat Valve geen bugrapporten meer van hem zou ontvangen die via HackerOne waren ingediend.
De oorspronkelijke rapporten van Kravets met betrekking tot twee afzonderlijke Steam-kwetsbaarheden die hackers toegang zouden geven tot eerder gecompromitteerde systemen, werden door Valve afgewezen en buiten het bereik gehouden.
Op donderdag, dezelfde dag dat de verklaring van Valve werd uitgegeven, vertelde Kravets aan Ars dat hij "nog geen communicatie van Valve had ontvangen en dat hij buitengesloten bleef van de Valve-bugrapportagesectie van HackerOne."
