Valve innrømmer at den gjorde en feil ved å "avvise" forsker som rapporterte Steam-sårbarheter
2 min. lese
Publisert på
Del denne artikkelen
Forbedre denne veiledningen
Les vår avsløringsside for å finne ut hvordan du kan hjelpe MSPoweruser opprettholde redaksjonen Les mer
Ifølge Ars Technica, har Valve innrømmet i en at det å avvise en forsker som oppdaget to separate sårbarheter i Steams system var "en feil".
Forskeren rapporterte tilsynelatende feilene gjennom Valves HackerOne bug bounty-program, men fikk rapporten hans "klassifisert som utenfor omfanget" og ble avvist. Selskapet sier at feilklassifiseringen av rapporten var en feil.
Du kan lese hele Valves uttalelse om problemet nedenfor:
Vi er også klar over at forskeren som oppdaget feilene feilaktig ble avvist gjennom vårt HackerOne bug bounty-program, der rapporten hans ble klassifisert som utenfor scope. Dette var en feil.
Våre HackerOne-programregler var kun ment å utelukke rapporter om at Steam ble bedt om å starte tidligere installert skadelig programvare på en brukers maskin som den lokale brukeren. I stedet førte feiltolkning av reglene også til utelukkelse av et mer alvorlig angrep som også utførte lokal privilegieeskalering gjennom Steam.
Vi har oppdatert HackerOne-programreglene for å eksplisitt oppgi at disse problemene er i omfang og bør rapporteres. I løpet av de siste to årene har vi samarbeidet med og belønnet 263 sikkerhetsforskere i samfunnet for å hjelpe oss med å identifisere og korrigere omtrent 500 sikkerhetsproblemer, og utbetalt over $675,000 XNUMX i dusører. Vi ser frem til å fortsette å jobbe med sikkerhetsfellesskapet for å forbedre sikkerheten til produktene våre gjennom HackerOne-programmet.
Når det gjelder de spesifikke forskerne, gjennomgår vi detaljene i hver situasjon for å finne de riktige handlingene. Vi kommer ikke til å diskutere detaljene i hver situasjon eller statusen til kontoene deres for øyeblikket.
Ars Technica si at uttalelsen kom bare to dager etter at sikkerhetsforsker Vasily Kravets ble informert om at Valve ikke lenger ville motta noen feilrapporter arkivert gjennom HackerOne fra ham.
Kravets' originale rapporter om to individuelle Steam-sårbarheter som ville gi hackere tilgang til tidligere kompromitterte systemer ble avvist av Valve og ansett utenfor omfanget.
Torsdag, samme dag som Valves uttalelse ble utstedt, fortalte Kravets til Ars at han «ennå ikke hadde mottatt kommunikasjon fra Valve, og at han forble utestengt fra Valve-feilrapporteringsdelen av HackerOne».
