Valve ยอมรับว่าทำผิดพลาดโดยนักวิจัย 'ปฏิเสธ' ที่รายงานช่องโหว่ Steam

อ้างอิงจาก Ars TechnicaValve ยอมรับในการปฏิเสธนักวิจัยที่ค้นพบช่องโหว่สองจุดแยกกันในระบบของ Steam เป็น 'ความผิดพลาด'

เห็นได้ชัดว่านักวิจัยรายงานจุดบกพร่องผ่านโปรแกรมหาบั๊ก HackerOne ของ Valve แต่รายงานของเขา "ถูกจัดประเภทว่าอยู่นอกขอบเขต" และถูกปฏิเสธ บริษัทกล่าวว่าการจัดประเภทรายงานผิดพลาดเป็นความผิดพลาด

คุณสามารถอ่านคำชี้แจงทั้งหมดของ Valve เกี่ยวกับปัญหาด้านล่าง:

เราทราบด้วยว่านักวิจัยที่ค้นพบบั๊กนั้นถูกปฏิเสธอย่างไม่ถูกต้องผ่านโปรแกรมให้รางวัลบั๊กของ HackerOne ซึ่งรายงานของเขาจัดอยู่ในประเภทไม่อยู่ในขอบเขต นี่เป็นความผิดพลาด

กฎของโปรแกรม HackerOne ของเรามีจุดประสงค์เพื่อยกเว้นรายงานของ Steam ที่ได้รับคำสั่งให้เปิดใช้มัลแวร์ที่ติดตั้งไว้ก่อนหน้านี้ในเครื่องของผู้ใช้ในฐานะผู้ใช้ท้องถิ่นนั้น การตีความกฎที่ผิดพลาดกลับนำไปสู่การยกเว้นการโจมตีที่ร้ายแรงกว่าซึ่งยังดำเนินการยกระดับสิทธิ์ในพื้นที่ผ่าน Steam อีกด้วย

เราได้อัปเดตกฎของโปรแกรม HackerOne เพื่อระบุอย่างชัดเจนว่าปัญหาเหล่านี้อยู่ในขอบเขตและควรได้รับการรายงาน ในช่วงสองปีที่ผ่านมา เราได้ร่วมมือและให้รางวัลแก่นักวิจัยด้านความปลอดภัย 263 คนในชุมชน ซึ่งช่วยให้เราระบุและแก้ไขปัญหาด้านความปลอดภัยประมาณ 500 รายการ โดยจ่ายเงินรางวัลกว่า 675,000 ดอลลาร์ เราตั้งตารอที่จะทำงานร่วมกับชุมชนความปลอดภัยต่อไปเพื่อปรับปรุงความปลอดภัยของผลิตภัณฑ์ของเราผ่านโปรแกรม HackerOne

สำหรับนักวิจัยเฉพาะรายนั้น เรากำลังทบทวนรายละเอียดของแต่ละสถานการณ์เพื่อพิจารณาการดำเนินการที่เหมาะสม เราจะไม่พูดถึงรายละเอียดของแต่ละสถานการณ์หรือสถานะของบัญชีในเวลานี้

Ars Technica กล่าวว่าคำแถลงดังกล่าวมีขึ้นเพียงสองวันหลังจากนักวิจัยด้านความปลอดภัย Vasily Kravets ได้รับแจ้งว่า Valve จะไม่ได้รับรายงานข้อบกพร่องใดๆ ที่ส่งผ่าน HackerOne จากเขาอีกต่อไป

รายงานดั้งเดิมของ Kravets เกี่ยวกับช่องโหว่ Steam สองช่องโหว่ที่อนุญาตให้แฮ็กเกอร์เข้าถึงระบบที่ถูกบุกรุกก่อนหน้านี้ถูกปฏิเสธโดย Valve และถือว่าอยู่นอกขอบเขต

ในวันพฤหัสบดี วันเดียวกับที่ออกแถลงการณ์ของ Valve Kravets บอก Ars ว่าเขา “ยังไม่ได้รับการสื่อสารใด ๆ จาก Valve และเขายังคงถูกล็อคออกจากส่วนการรายงานข้อผิดพลาดของ Valve ของ HackerOne”