Valve, Steam'deki açıkları bildiren araştırmacıyı 'geri çevirerek' hata yaptığını itiraf etti
2 dk. okuman
Yayınlandı
Bu makaleyi paylaş
Bu kılavuzu geliştirin
MSPoweruser'ın editör ekibini ayakta tutmasına nasıl yardımcı olabileceğinizi öğrenmek için açıklama sayfamızı okuyun. Daha fazla
Ars Technica'ya göre, Valve, Steam'in sisteminde iki ayrı güvenlik açığı keşfeden bir araştırmacıyı geri çevirmenin 'bir hata' olduğunu kabul etti.
Araştırmacı, görünüşe göre Valve'in HackerOne hata ödül programı aracılığıyla hataları bildirdi, ancak raporunu “kapsam dışı olarak sınıflandırıldı” ve reddedildi. Şirket, raporun yanlış sınıflandırılmasının bir hata olduğunu söylüyor.
Valve'in konuyla ilgili açıklamasının tamamını aşağıdan okuyabilirsiniz:
Hataları keşfeden araştırmacının, raporunun kapsam dışı olarak sınıflandırıldığı HackerOne hata ödül programımız aracılığıyla yanlışlıkla geri çevrildiğinin de farkındayız. Bu bir hataydı.
HackerOne program kurallarımız, yalnızca Steam'in bir kullanıcının makinesine o yerel kullanıcı olarak önceden yüklenmiş kötü amaçlı yazılımları başlatma talimatı verildiği raporlarını hariç tutmayı amaçlıyordu. Bunun yerine, kuralların yanlış yorumlanması, Steam üzerinden yerel ayrıcalık yükseltme de gerçekleştiren daha ciddi bir saldırının dışlanmasına da yol açtı.
Bu sorunların kapsam dahilinde olduğunu ve bildirilmesi gerektiğini açıkça belirtmek için HackerOne program kurallarımızı güncelledik. Son iki yılda, toplulukta yaklaşık 263 güvenlik sorununu tespit edip düzeltmemize yardımcı olan 500 güvenlik araştırmacısıyla işbirliği yaptık ve onları ödüllendirdik ve 675,000 dolardan fazla ödül ödedik. HackerOne programı aracılığıyla ürünlerimizin güvenliğini artırmak için güvenlik topluluğuyla çalışmaya devam etmeyi dört gözle bekliyoruz.
Belirli araştırmacılarla ilgili olarak, uygun eylemleri belirlemek için her bir durumun ayrıntılarını inceliyoruz. Şu anda her bir durumun ayrıntılarını veya hesaplarının durumunu tartışmayacağız.
Ars Technica Açıklamanın, güvenlik araştırmacısı Vasily Kravets'in Valve'nin artık HackerOne aracılığıyla kendisinden herhangi bir hata raporu almayacağı konusunda bilgilendirilmesinden sadece iki gün sonra geldiğini söylüyor.
Kravets'in bilgisayar korsanlarının daha önce ele geçirilmiş sistemlere erişmesine izin verecek iki ayrı Steam güvenlik açığıyla ilgili orijinal raporları Valve tarafından reddedildi ve kapsam dışı kabul edildi.
Valve'ın açıklamasının yayınlandığı aynı gün Perşembe günü Kravets, Ars'a “henüz Valve'den herhangi bir iletişim almadığını ve HackerOne'ın Valve hata raporlama bölümünden kilitli kaldığını” söyledi.
