Valve визнає, що зробила помилку, «відвернувши» дослідника, який повідомив про вразливості Steam
2 хв. читати
Опубліковано
Поділитися цією статтею
Удосконалити цей посібник
Прочитайте нашу сторінку розкриття інформації, щоб дізнатися, як ви можете допомогти MSPoweruser підтримувати редакційну команду Читати далі
За матеріалами Ars Technica, Valve визнала, що відмова дослідника, який виявив дві окремі вразливості в системі Steam, була «помилкою».
Очевидно, дослідник повідомив про помилки через програму Valve HackerOne, але його звіт «зарахували як поза межами сфери дії», і його було відхилено. У компанії кажуть, що неправильна класифікація звіту була помилкою.
Ви можете прочитати всю заяву Valve щодо цього питання нижче:
Нам також відомо, що дослідник, який виявив помилки, був невірно відхилений через нашу програму винагороди за помилки HackerOne, де його звіт був класифікований як поза межами сфери дії. Це була помилка.
Правила нашої програми HackerOne були призначені лише для того, щоб виключити повідомлення про вказівки Steam запустити раніше встановлене зловмисне програмне забезпечення на машині користувача як локального користувача. Натомість неправильне тлумачення правил також призвело до виключення більш серйозної атаки, яка також призвела до ескалації локальних привілеїв через Steam.
Ми оновили наші правила програми HackerOne, щоб чітко вказати, що ці проблеми входять до сфери дії та про них слід повідомити. Протягом останніх двох років ми співпрацювали та винагородили 263 дослідників безпеки в спільноті, які допомогли нам виявити та виправити приблизно 500 проблем безпеки, виплативши понад 675,000 XNUMX доларів США в якості винагород. Ми з нетерпінням чекаємо продовження співпраці зі спільнотою безпеки, щоб покращити безпеку наших продуктів за допомогою програми HackerOne.
Що стосується конкретних дослідників, ми розглядаємо деталі кожної ситуації, щоб визначити відповідні дії. Наразі ми не збираємося обговорювати деталі кожної ситуації або статус їхніх облікових записів.
Ars Technica кажуть, що ця заява з’явилася лише через два дні після того, як дослідника безпеки Василя Кравця повідомили, що Valve більше не отримуватиме від нього жодних повідомлень про помилки, поданих через HackerOne.
Оригінальні звіти Кравця щодо двох окремих уразливостей Steam, які дозволяли б хакерам отримати доступ до раніше зламаних систем, були відхилені Valve та визнані поза межами сфери застосування.
У четвер, того ж дня, коли була оприлюднена заява Valve, Кравець сказав Ars, що він «ще не отримав жодного повідомлення від Valve і що він залишився заблокованим у розділі звітів про помилки Valve у HackerOne».
