Valve admite que cometeu um erro ao ‘rejeitar’ pesquisador que relatou vulnerabilidades do Steam
2 minutos. ler
Publicado em
Compartilhe este artigo
Melhore este guia
Leia nossa página de divulgação para descobrir como você pode ajudar o MSPoweruser a sustentar a equipe editorial Saiba mais
De acordo com Ars Technica, a Valve admitiu em um que recusar um pesquisador que descobriu duas vulnerabilidades separadas no sistema do Steam foi 'um erro'.
O pesquisador aparentemente relatou os bugs através do programa de recompensas de bugs HackerOne da Valve, mas teve seu relatório “classificado como fora do escopo” e foi rejeitado. A empresa diz que a má classificação do relatório foi um erro.
Você pode ler a declaração completa da Valve sobre o problema abaixo:
Também estamos cientes de que o pesquisador que descobriu os bugs foi rejeitado incorretamente por meio de nosso programa de recompensas de bugs HackerOne, onde seu relatório foi classificado como fora do escopo. Isso foi um erro.
Nossas regras do programa HackerOne destinavam-se apenas a excluir relatos de que o Steam foi instruído a lançar malware instalado anteriormente na máquina de um usuário como esse usuário local. Em vez disso, a má interpretação das regras também levou à exclusão de um ataque mais sério que também realizou o escalonamento de privilégios locais através do Steam.
Atualizamos nossas regras do programa HackerOne para declarar explicitamente que esses problemas estão no escopo e devem ser relatados. Nos últimos dois anos, colaboramos e recompensamos 263 pesquisadores de segurança da comunidade, ajudando-nos a identificar e corrigir cerca de 500 problemas de segurança, pagando mais de US$ 675,000 em recompensas. Esperamos continuar trabalhando com a comunidade de segurança para melhorar a segurança de nossos produtos por meio do programa HackerOne.
Em relação aos pesquisadores específicos, estamos revisando os detalhes de cada situação para determinar as ações apropriadas. Não vamos discutir os detalhes de cada situação ou o status de suas contas neste momento.
Ars Technica dizem que a declaração veio apenas dois dias depois que o pesquisador de segurança Vasily Kravets foi informado de que a Valve não receberia mais nenhum relatório de bug arquivado por meio do HackerOne dele.
Os relatórios originais da Kravets sobre duas vulnerabilidades individuais do Steam que permitiriam aos hackers acesso a sistemas previamente comprometidos foram rejeitados pela Valve e considerados fora do escopo.
Na quinta-feira, no mesmo dia em que a declaração da Valve foi emitida, Kravets disse a Ars que ele “ainda não recebeu nenhuma comunicação da Valve e que permaneceu bloqueado na seção de relatórios de bugs da Valve do HackerOne”.
