Valve thừa nhận đã phạm sai lầm khi 'quay lưng' nhà nghiên cứu đã báo cáo lỗ hổng Steam

Trang Chủ » chơi game

Biểu tượng thời gian đọc 2 phút đọc

Biểu tượng lịch Được đăng trên

by Ash Clemaine 

Được xuất bản trên

Chia sẻ bài báo này

Bạn đọc giúp đỡ ủng hộ MSpoweruser. Chúng tôi có thể nhận được hoa hồng nếu bạn mua thông qua các liên kết của chúng tôi. Biểu tượng chú giải công cụ

Đọc trang tiết lộ của chúng tôi để tìm hiểu cách bạn có thể giúp MSPoweruser duy trì nhóm biên tập Tìm hiểu thêm

van

Theo Ars TechnicaValve đã thừa nhận rằng việc từ chối một nhà nghiên cứu đã phát hiện ra hai lỗ hổng riêng biệt trong hệ thống của Steam là 'một sai lầm'.

Nhà nghiên cứu rõ ràng đã báo cáo lỗi thông qua chương trình tiền thưởng lỗi HackerOne của Valve, nhưng báo cáo của anh ta "được phân loại là nằm ngoài phạm vi" và bị từ chối. Công ty nói rằng việc phân loại sai báo cáo là một sai lầm.

Bạn có thể đọc toàn bộ tuyên bố của Valve về vấn đề dưới đây:

Chúng tôi cũng biết rằng nhà nghiên cứu phát hiện ra lỗi đã bị loại bỏ một cách không chính xác thông qua chương trình thưởng lỗi HackerOne của chúng tôi, nơi báo cáo của anh ta được phân loại là nằm ngoài phạm vi. Đây là một sai lầm.

Các quy tắc chương trình HackerOne của chúng tôi chỉ nhằm loại trừ các báo cáo về việc Steam được hướng dẫn để khởi chạy phần mềm độc hại đã được cài đặt trước đó trên máy của người dùng với tư cách là người dùng cục bộ đó. Thay vào đó, việc hiểu sai các quy tắc cũng dẫn đến việc loại trừ một cuộc tấn công nghiêm trọng hơn cũng thực hiện leo thang đặc quyền cục bộ thông qua Steam.

Chúng tôi đã cập nhật các quy tắc chương trình HackerOne của mình để tuyên bố rõ ràng rằng những vấn đề này nằm trong phạm vi và cần được báo cáo. Trong hai năm qua, chúng tôi đã cộng tác và trao thưởng cho 263 nhà nghiên cứu bảo mật trong cộng đồng giúp chúng tôi xác định và khắc phục khoảng 500 vấn đề bảo mật, trả hơn 675,000 đô la tiền thưởng. Chúng tôi mong muốn tiếp tục hợp tác với cộng đồng bảo mật để cải thiện tính bảo mật cho các sản phẩm của chúng tôi thông qua chương trình HackerOne.

Liên quan đến các nhà nghiên cứu cụ thể, chúng tôi đang xem xét chi tiết của từng tình huống để xác định các hành động thích hợp. Chúng tôi sẽ không thảo luận chi tiết về từng tình huống hoặc trạng thái tài khoản của họ vào lúc này.

Ars Technica nói rằng tuyên bố được đưa ra chỉ hai ngày sau khi nhà nghiên cứu bảo mật Vasily Kravets được thông báo rằng Valve sẽ không nhận được bất kỳ báo cáo lỗi nào được gửi thông qua HackerOne từ anh ta nữa.

Các báo cáo ban đầu của Kravets liên quan đến hai lỗ hổng Steam riêng lẻ cho phép tin tặc truy cập vào các hệ thống bị xâm nhập trước đó đã bị Valve từ chối và cho là nằm ngoài phạm vi.

Vào thứ Năm, cùng ngày mà tuyên bố của Valve được đưa ra, Kravets nói với Ars rằng anh ấy “vẫn chưa nhận được bất kỳ thông tin liên lạc nào từ Valve và anh ấy vẫn bị khóa khỏi phần báo cáo lỗi Valve của HackerOne.”

Thông tin thêm về các chủ đề: hơi, Lỗ hổng Steam, van, Vasily Kravet

Ash Clemaine

Ash Clemaine Lá chắn

Phóng viên trò chơi

Ash bao gồm các trò chơi miễn phí và trò chơi mới phát hành của Epic Store. Nếu bạn đang tìm thứ gì đó để chơi, Ash sẽ giúp bạn.

Bình luận

Chúng tôi sẽ không công khai email của bạn. Các ô đánh dấu * là bắt buộc *