Valve medger att det gjorde ett misstag genom att "vända bort" forskare som rapporterade Steam-sårbarheter
2 min. läsa
Publicerad den
Dela den här artikeln
Förbättra den här guiden
Läs vår informationssida för att ta reda på hur du kan hjälpa MSPoweruser upprätthålla redaktionen Läs mer
Enligt Ars Technica, Valve har erkänt i en att avvisa en forskare som upptäckte två separata sårbarheter i Steams system var "ett misstag".
Forskaren rapporterade uppenbarligen buggarna genom Valves HackerOne bug-bounty-program, men fick sin rapport "klassad som utanför räckvidden" och avvisades. Företaget säger att den felaktiga klassificeringen av rapporten var ett misstag.
Du kan läsa hela Valves uttalande om frågan nedan:
Vi är också medvetna om att forskaren som upptäckte buggarna felaktigt avvisades genom vårt HackerOne bug-bounty-program, där hans rapport klassificerades som utanför räckvidd. Detta var ett misstag.
Våra HackerOne-programregler var endast avsedda att utesluta rapporter om att Steam instrueras att lansera tidigare installerad skadlig programvara på en användares dator som den lokala användaren. Istället ledde felaktig tolkning av reglerna också till att en allvarligare attack uteslöts som också utförde en lokal privilegieskalering genom Steam.
Vi har uppdaterat våra HackerOne-programregler för att uttryckligen ange att dessa problem är i omfattning och bör rapporteras. Under de senaste två åren har vi samarbetat med och belönat 263 säkerhetsforskare i samhället och hjälpt oss att identifiera och korrigera cirka 500 säkerhetsproblem, och betalat ut över $675,000 XNUMX i belöningar. Vi ser fram emot att fortsätta arbeta med säkerhetsgemenskapen för att förbättra säkerheten för våra produkter genom HackerOne-programmet.
När det gäller de specifika forskarna granskar vi detaljerna i varje situation för att fastställa lämpliga åtgärder. Vi kommer inte att diskutera detaljerna i varje situation eller statusen för deras konton för närvarande.
Ars Technica säga att uttalandet kom bara två dagar efter att säkerhetsforskaren Vasily Kravets informerades om att Valve inte längre skulle ta emot några felrapporter som lämnats in via HackerOne från honom.
Kravets ursprungliga rapporter angående två individuella Steam-sårbarheter som skulle ge hackare tillgång till tidigare komprometterade system avvisades av Valve och ansågs utanför räckvidden.
På torsdagen, samma dag som Valves uttalande utfärdades, sa Kravets till Ars att han "ännu inte hade fått någon kommunikation från Valve och att han förblev utestängd från Valve-felrapporteringssektionen i HackerOne."
