Valve признает, что допустила ошибку, «отвергнув» исследователя, сообщившего об уязвимостях Steam
2 минута. читать
Опубликовано
Поделиться этой статьей
Улучшите это руководство
Прочтите нашу страницу раскрытия информации, чтобы узнать, как вы можете помочь MSPoweruser поддержать редакционную команду. Читать далее
По данным Ars Technica, Valve признала, что отказ исследователя, обнаружившего две отдельные уязвимости в системе Steam, был «ошибкой».
Исследователь, по-видимому, сообщил об ошибках через программу вознаграждения за ошибки HackerOne от Valve, но его отчет был «классифицирован как выходящий за рамки» и был отклонен. В компании говорят, что неправильная классификация отчета была ошибкой.
Вы можете прочитать полное заявление Valve по этому вопросу ниже:
Нам также известно, что исследователю, обнаружившему ошибки, было ошибочно отказано в нашей программе вознаграждения за обнаружение ошибок HackerOne, где его отчет был классифицирован как не относящийся к делу. Это было ошибкой.
Наши правила программы HackerOne были предназначены только для того, чтобы исключить сообщения о том, что Steam получает указание запускать ранее установленное вредоносное ПО на компьютере пользователя от имени этого локального пользователя. Вместо этого неправильное толкование правил также привело к исключению более серьезной атаки, которая также выполняла локальное повышение привилегий через Steam.
Мы обновили наши правила программы HackerOne, чтобы прямо указать, что эти проблемы входят в сферу компетенции и о них следует сообщать. За последние два года мы сотрудничали и вознаградили 263 исследователя безопасности из сообщества, которые помогли нам выявить и исправить около 500 проблем с безопасностью, выплатив вознаграждение на сумму более 675,000 XNUMX долларов США. Мы с нетерпением ждем продолжения работы с сообществом безопасности для повышения безопасности наших продуктов с помощью программы HackerOne.
Что касается конкретных исследователей, мы просматриваем детали каждой ситуации, чтобы определить соответствующие действия. В настоящее время мы не собираемся обсуждать детали каждой ситуации или состояние их счетов.
Ars Technica говорят, что заявление поступило всего через два дня после того, как исследователю безопасности Василию Кравцу сообщили, что Valve больше не будет получать от него отчеты об ошибках, поданные через HackerOne.
Первоначальные отчеты Кравца о двух отдельных уязвимостях Steam, которые позволили бы хакерам получить доступ к ранее скомпрометированным системам, были отклонены Valve и сочтены не относящимися к делу.
В четверг, в тот же день, когда было опубликовано заявление Valve, Кравец сказал Арсу, что он «еще не получил никаких сообщений от Valve и что он по-прежнему заблокирован в разделе сообщений об ошибках Valve на HackerOne».
