Valve przyznaje, że popełniło błąd, „odrzucając” badacza, który zgłosił luki w zabezpieczeniach Steam
2 minuta. czytać
Opublikowany
Udostępnij ten artykuł
Ulepsz ten przewodnik
Przeczytaj naszą stronę z informacjami, aby dowiedzieć się, jak możesz pomóc MSPoweruser w utrzymaniu zespołu redakcyjnego Czytaj więcej
Według Ars TechnicaValve przyznało w jednym z wywiadów, że odrzucenie badacza, który odkrył dwie oddzielne luki w systemie Steam, było „błędem”.
Badacz najwyraźniej zgłosił błędy za pośrednictwem programu nagród za błędy HackerOne firmy Valve, ale jego raport został „zaklasyfikowany jako poza zakresem” i został odrzucony. Firma twierdzi, że błędna klasyfikacja raportu była błędem.
Możesz przeczytać całe oświadczenie Valve na ten temat poniżej:
Jesteśmy również świadomi, że naukowiec, który odkrył błędy, został niesłusznie odrzucony przez nasz program nagradzania błędów HackerOne, w którym jego raport został sklasyfikowany jako poza zakresem. To był błąd.
Nasze reguły programu HackerOne miały na celu wyłącznie wykluczenie raportów o tym, że Steam jest instruowany do uruchomienia wcześniej zainstalowanego złośliwego oprogramowania na komputerze użytkownika jako użytkownik lokalny. Zamiast tego błędna interpretacja zasad doprowadziła również do wykluczenia poważniejszego ataku, który również wykonywał lokalną eskalację uprawnień za pośrednictwem Steam.
Zaktualizowaliśmy nasze zasady programu HackerOne, aby wyraźnie stwierdzić, że problemy te są objęte zakresem i należy je zgłaszać. W ciągu ostatnich dwóch lat współpracowaliśmy z 263 badaczami bezpieczeństwa w społeczności i nagrodziliśmy je, pomagając nam zidentyfikować i naprawić około 500 problemów związanych z bezpieczeństwem, wypłacając nagrody o wartości ponad 675,000 XNUMX USD. Nie możemy się doczekać dalszej współpracy ze społecznością zajmującą się bezpieczeństwem w celu poprawy bezpieczeństwa naszych produktów za pośrednictwem programu HackerOne.
W odniesieniu do konkretnych badaczy analizujemy szczegóły każdej sytuacji, aby określić odpowiednie działania. W tej chwili nie będziemy omawiać szczegółów każdej sytuacji ani stanu ich kont.
Ars Technica twierdzą, że oświadczenie pojawiło się zaledwie dwa dni po tym, jak badacz bezpieczeństwa Wasilij Kravets został poinformowany, że Valve nie będzie już otrzymywać od niego żadnych raportów o błędach zgłoszonych przez HackerOne.
Oryginalne doniesienia Kravetsa dotyczące dwóch pojedynczych luk w zabezpieczeniach Steam, które umożliwiłyby hakerom dostęp do wcześniej zhakowanych systemów, zostały odrzucone przez Valve i uznane za wykraczające poza zakres.
W czwartek, tego samego dnia, w którym wydano oświadczenie Valve, Kravets powiedział Arsowi, że „jeszcze nie otrzymał żadnej wiadomości od Valve i że pozostał zamknięty w sekcji zgłaszania błędów Valve w HackerOne”.
