Valve 承认“拒绝”报告 Steam 漏洞的研究人员是一个错误

根据 Ars Technica，Valve 承认拒绝一名在 Steam 系统中发现两个独立漏洞的研究人员是“错误的”。

研究人员显然是通过 Valve 的 HackerOne 漏洞赏金计划报告了这些漏洞，但他的报告“被归类为超出范围”并被拒绝。 该公司表示，报告的错误分类是一个错误。

您可以阅读 Valve 关于以下问题的完整声明：

我们还知道，发现漏洞的研究人员被我们的 HackerOne 漏洞赏金计划错误地拒之门外，他的报告被归类为超出范围。 这是一个错误。

我们的 HackerOne 程序规则旨在排除有关 Steam 被指示以本地用户身份在用户计算机上启动先前安装的恶意软件的报告。 相反，对规则的误解也导致了更严重的攻击被排除在外，该攻击也通过 Steam 执行本地权限提升。

我们更新了我们的 HackerOne 计划规则，明确声明这些问题在范围内并且应该报告。 在过去的两年里，我们与社区中的 263 名安全研究人员合作并奖励了他们，帮助我们识别和纠正了大约 500 个安全问题，并支付了超过 675,000 美元的奖金。 我们期待继续与安全社区合作，通过 HackerOne 计划提高我们产品的安全性。

对于具体的研究人员，我们正在审查每种情况的细节以确定适当的行动。 我们目前不打算讨论每种情况的详细信息或他们的帐户状态。

Ars Technica的 表示该声明是在安全研究员 Vasily Kravets 被告知 Valve 将不再收到他通过 HackerOne 提交的任何错误报告两天后发表的。

Kravets 关于两个单独的 Steam 漏洞的原始报告被 Valve 拒绝，并被认为超出了范围。

周四，也就是 Valve 发表声明的同一天，Kravets 告诉 Ars，他“尚未收到 Valve 的任何通信，并且他仍然被锁定在 HackerOne 的 Valve 错误报告部分”。