Valve recunoaște că a făcut o greșeală „întorcându-l” pe cercetătorul care a raportat vulnerabilitățile Steam
2 min. citit
Publicat în data de
Distribuiți acest articol
Îmbunătățiți acest ghid
Citiți pagina noastră de dezvăluire pentru a afla cum puteți ajuta MSPoweruser să susțină echipa editorială Află mai multe
Potrivit Ars Technica, Valve a recunoscut într-un comunicat că a refuza un cercetător care a descoperit două vulnerabilități separate în sistemul Steam a fost „o greșeală”.
Se pare că cercetătorul a raportat erorile prin programul Valve HackerOne, dar raportul său a fost „clasificat ca în afara domeniului de aplicare” și a fost respins. Compania spune că clasificarea greșită a raportului a fost o greșeală.
Puteți citi mai jos întreaga declarație a lui Valve despre această problemă:
De asemenea, suntem conștienți de faptul că cercetătorul care a descoperit erorile a fost respins incorect prin programul nostru de recompensă pentru erori HackerOne, unde raportul său a fost clasificat ca în afara domeniului de aplicare. Aceasta a fost o greșeală.
Regulile programului HackerOne au fost menite doar să excludă rapoartele conform cărora Steam a fost instruit să lanseze malware instalat anterior pe computerul unui utilizator ca utilizator local. În schimb, interpretarea greșită a regulilor a dus și la excluderea unui atac mai serios care a efectuat și escaladarea privilegiilor locale prin Steam.
Am actualizat regulile programului HackerOne pentru a declara în mod explicit că aceste probleme sunt în domeniu și ar trebui raportate. În ultimii doi ani, am colaborat și am recompensat cu 263 de cercetători de securitate din comunitate, ajutându-ne să identificăm și să corectăm aproximativ 500 de probleme de securitate, plătind recompense de peste 675,000 USD. Așteptăm cu nerăbdare să continuăm să lucrăm cu comunitatea de securitate pentru a îmbunătăți securitatea produselor noastre prin programul HackerOne.
În ceea ce privește cercetătorii specifici, revizuim detaliile fiecărei situații pentru a determina acțiunile adecvate. Nu vom discuta detaliile fiecărei situații sau starea conturilor lor în acest moment.
Ars Technica spune că declarația a venit la doar două zile după ce cercetătorul de securitate Vasily Kravets a fost informat că Valve nu va mai primi nicio raportare de eroare depusă prin HackerOne de la el.
Rapoartele originale ale lui Kravets cu privire la două vulnerabilități Steam individuale care ar permite hackerilor accesul la sistemele compromise anterior au fost respinse de Valve și considerate în afara domeniului de aplicare.
Joi, în aceeași zi în care a fost emisă declarația lui Valve, Kravets i-a spus lui Ars că „nu a primit încă nicio comunicare de la Valve și că a rămas blocat în secțiunea Valve de raportare a erorilor din HackerOne”.
