Valve признала, что российскому специалисту по ошибке отказали в награде за две найденные уязвимости в Steam

Сами критические бреши в безопасности пообещали устранить.

Сотрудники Valve заявили, что внесут изменения в правила своей баунти-программы для хакеров HackerOne, а также исправят две критические уязвимости, которые обнаружил специалист по информационной безопасности Василий Кравец.

Изначально Кравец сообщил о недочётах в коде Steam через HackerOne, однако его отчёт не приняли, заявив, что за подобные ошибки не выдают вознаграждений. Попытка начать спор окончилась ничем, и специалист выложил описание уязвимости в открытый доступ, за что получил бан на HackerOne.

В итоге он подробно рассказал в сети о двух брешах безопасности характера local privilege escalation (LPE), позволявших выполнить на ПК жертвы любой код с максимальными привилегиями. Помимо прочего это давало злоумышленникам отключать файрволы и антивирусы, а также красть личные данные.

В Valve признали ошибку лишь несколько дней спустя, назвав ситуацию «недопониманием».

Правила нашей программы HackerOne должны были исключить все сообщения о возможности запустить через Steam уже установленное вредоносное ПО в качестве локального пользователя.

Однако из-за неверной трактовки в число таких исключений попала куда более серьёзная атака, позволявшая провести LPE через Steam. Мы уже обновили правила программы HackerOne, чтобы пояснить, что такие уязвимости входят в неё.
из заявления Valve

Однако в компании не сказали, получит ли Кравец вознаграждение и снимут ли с него блокировку на HackerOne. По словам сотрудников Valve, «они отдельно рассмотрят ситуации, связанные с каждым из специалистов».

Баунти-программу для Steam запустили в начале мая 2019 года. По данным Valve, с тех пор пользователи нашли более 500 уязвимостей, а компания выплатила вознаграждения общей суммой 675 тысяч долларов.

#steam #хакеры