Valve priznáva, že urobilo chybu, keď „odmietlo“ výskumníka, ktorý nahlásil zraniteľnosti Steamu
2 min. čítať
Publikované dňa
Zdieľajte tento článok
Vylepšite túto príručku
Prečítajte si našu informačnú stránku a zistite, ako môžete pomôcť MSPoweruser udržať redakčný tím Čítaj viac
Podľa Ars Technica, Valve priznalo, že odmietnuť výskumníka, ktorý objavil dve samostatné zraniteľnosti v systéme Steam, bola „chyba“.
Výskumník zrejme nahlásil chyby prostredníctvom programu odmeny za chyby HackerOne od spoločnosti Valve, ale jeho správa bola „klasifikovaná ako mimo rozsah“ a bola zamietnutá. Spoločnosť tvrdí, že nesprávne zaradenie správy bola chyba.
Celé vyjadrenie Valve k problému si môžete prečítať nižšie:
Sme si tiež vedomí toho, že výskumník, ktorý objavil chyby, bol nesprávne odmietnutý prostredníctvom nášho programu odmeny za chyby HackerOne, kde bola jeho správa klasifikovaná ako mimo rozsah. Toto bola chyba.
Naše pravidlá programu HackerOne boli určené len na vylúčenie správ o tom, že Steam dostal pokyn na spustenie predtým nainštalovaného malvéru na počítači používateľa ako miestneho používateľa. Namiesto toho nesprávna interpretácia pravidiel tiež viedla k vylúčeniu vážnejšieho útoku, ktorý tiež vykonal eskaláciu miestnych privilégií cez Steam.
Aktualizovali sme naše pravidlá programu HackerOne tak, aby výslovne uvádzali, že tieto problémy sú v rozsahu pôsobnosti a mali by byť nahlásené. Za posledné dva roky sme spolupracovali a odmenili 263 bezpečnostných výskumníkov v komunite, ktorí nám pomohli identifikovať a opraviť približne 500 bezpečnostných problémov, pričom sme vyplatili viac ako 675,000 XNUMX dolárov ako odmeny. Tešíme sa na pokračovanie spolupráce s bezpečnostnou komunitou na zlepšovaní bezpečnosti našich produktov prostredníctvom programu HackerOne.
Pokiaľ ide o konkrétnych výskumníkov, skúmame podrobnosti každej situácie, aby sme určili vhodné opatrenia. V tejto chvíli nebudeme diskutovať o podrobnostiach každej situácie ani o stave ich účtov.
Ars Technica hovoria, že vyhlásenie prišlo len dva dni po tom, čo bol bezpečnostný výskumník Vasily Kravets informovaný, že Valve už od neho nebude dostávať žiadne hlásenia o chybách podané cez HackerOne.
Pôvodné Kravetsove správy týkajúce sa dvoch individuálnych zraniteľností Steamu, ktoré by umožnili hackerom prístup k predtým kompromitovaným systémom, boli zamietnuté spoločnosťou Valve a považované za mimo rozsah.
Vo štvrtok, v ten istý deň, keď bolo vydané vyhlásenie Valve, Kravets povedal Arsovi, že „ešte nedostal žiadnu komunikáciu od Valve a že zostal vylúčený zo sekcie hlásenia chýb Valve na HackerOne“.
