Valve 承認「拒絕」報告 Steam 漏洞的研究人員是一個錯誤

根據 Ars Technica，Valve 承認拒絕一名在 Steam 系統中發現兩個獨立漏洞的研究人員是“錯誤的”。

研究人員顯然是通過 Valve 的 HackerOne 漏洞賞金計劃報告了這些漏洞，但他的報告“被歸類為超出範圍”並被拒絕。 該公司表示，報告的錯誤分類是一個錯誤。

您可以閱讀 Valve 關於以下問題的完整聲明：

我們還知道，發現漏洞的研究人員被我們的 HackerOne 漏洞賞金計劃錯誤地拒之門外，他的報告被歸類為超出範圍。 這是一個錯誤。

我們的 HackerOne 程序規則旨在排除有關 Steam 被指示以本地用戶身份在用戶計算機上啟動先前安裝的惡意軟件的報告。 相反，對規則的誤解也導致了更嚴重的攻擊被排除在外，該攻擊也通過 Steam 執行本地權限提升。

我們更新了我們的 HackerOne 計劃規則，明確聲明這些問題在範圍內並且應該報告。 在過去的兩年裡，我們與社區中的 263 名安全研究人員合作並獎勵了他們，幫助我們識別和糾正了大約 500 個安全問題，並支付了超過 675,000 美元的獎金。 我們期待繼續與安全社區合作，通過 HackerOne 計劃提高我們產品的安全性。

對於具體的研究人員，我們正在審查每種情況的細節以確定適當的行動。 我們目前不打算討論每種情況的詳細信息或他們的帳戶狀態。

Ars Technica的 表示該聲明是在安全研究員 Vasily Kravets 被告知 Valve 將不再收到他通過 HackerOne 提交的任何錯誤報告兩天后發表的。

Kravets 關於兩個單獨的 Steam 漏洞的原始報告被 Valve 拒絕，並被認為超出了範圍。

週四，也就是 Valve 發表聲明的同一天，Kravets 告訴 Ars，他“尚未收到 Valve 的任何通信，並且他仍然被鎖定在 HackerOne 的 Valve 錯誤報告部分”。