Valve признала, что российскому специалисту по ошибке отказали в награде за две найденные уязвимости в Steam Материал редакции

Сами критические бреши в безопасности пообещали устранить.

В закладки
Аудио

Сотрудники Valve заявили, что внесут изменения в правила своей баунти-программы для хакеров HackerOne, а также исправят две критические уязвимости, которые обнаружил специалист по информационной безопасности Василий Кравец.

Изначально Кравец сообщил о недочётах в коде Steam через HackerOne, однако его отчёт не приняли, заявив, что за подобные ошибки не выдают вознаграждений. Попытка начать спор окончилась ничем, и специалист выложил описание уязвимости в открытый доступ, за что получил бан на HackerOne.

В итоге он подробно рассказал в сети о двух брешах безопасности характера local privilege escalation (LPE), позволявших выполнить на ПК жертвы любой код с максимальными привилегиями. Помимо прочего это давало злоумышленникам отключать файрволы и антивирусы, а также красть личные данные.

В Valve признали ошибку лишь несколько дней спустя, назвав ситуацию «недопониманием».

Правила нашей программы HackerOne должны были исключить все сообщения о возможности запустить через Steam уже установленное вредоносное ПО в качестве локального пользователя.

Однако из-за неверной трактовки в число таких исключений попала куда более серьёзная атака, позволявшая провести LPE через Steam. Мы уже обновили правила программы HackerOne, чтобы пояснить, что такие уязвимости входят в неё.

из заявления Valve

Однако в компании не сказали, получит ли Кравец вознаграждение и снимут ли с него блокировку на HackerOne. По словам сотрудников Valve, «они отдельно рассмотрят ситуации, связанные с каждым из специалистов».

Баунти-программу для Steam запустили в начале мая 2019 года. По данным Valve, с тех пор пользователи нашли более 500 уязвимостей, а компания выплатила вознаграждения общей суммой 675 тысяч долларов.

{ "author_name": "Антон Самитов", "author_type": "editor", "tags": ["\u0445\u0430\u043a\u0435\u0440\u044b","steam"], "comments": 87, "likes": 203, "favorites": 21, "is_advertisement": false, "subsite_label": "gameindustry", "id": 65652, "is_wide": false, "is_ugc": false, "date": "Fri, 23 Aug 2019 17:02:30 +0300", "is_special": false }
0
{ "id": 65652, "author_id": 24538, "diff_limit": 1000, "urls": {"diff":"\/comments\/65652\/get","add":"\/comments\/65652\/add","edit":"\/comments\/edit","remove":"\/admin\/comments\/remove","pin":"\/admin\/comments\/pin","get4edit":"\/comments\/get4edit","complain":"\/comments\/complain","load_more":"\/comments\/loading\/65652"}, "attach_limit": 2, "max_comment_text_length": 5000, "subsite_id": 87855, "last_count_and_date": null }
87 комментариев
Популярные
По порядку
Написать комментарий...
222

Ну да, если бы не огласка - это бы так и осталось "недопониманием".

Ответить
5

скорее всего, но есть подозрение что устранят не скоро если вообще устранят(

Ответить
6

уже в бете

Ответить
3

Вопрос в том, реально устранили или опять обходится, только другим алгоритмом.

Ответить
0

прикольно, даже не проверял

Ответить
3

В бете заплатка уже вышла

Ответить
–4

сериалов насмотрелись?

Ответить
8

Шта?

Ответить
1

Да нет, предыдущую брешь, найденую героем статьи закрыли "на пол шишечки", багфикс можно было обойти. Потому вариант комментатора выше был вполне вероятным.

Ответить
0

Главное что людям не всё равно и они об этом говорили, сейчас зачастую только таким способом можно достучаться до большой компании.

Ответить
–150

Что-то мне подсказывает, что этот российский специалист — засланный казачок epic games. А уязвимости он нашел дабы дискредитировать Steam и Valve. Неспроста же они его забанили и не заплатили? Похожий случай был, когда Сергей Г. копал под Steam со своим стимпаем, а после этого Valve сделала профили приватными по умолчанию (из-за этого этого нельзя было посчитать количество проданных копий игр в Steam).
Но я уже и не знаю, чему верить.

Ответить
106

Нихера себе многоходовочка

Ответить
4

и вполне рабочая схема=)

Ответить
43

А уязвимости он нашел дабы дискредитировать Steam и Valve

Для этого проще было бы продать уязвимость в даркнете ботоводам, а не валву сообщать.

Ответить
–4

ботоводы ничего с этим не смогли бы сделать. А вирусы в инди говно играх и так хватает

Ответить
11

Да нет, с этим как раз простор хороший есть.

Ответить
–3

к сожалению простора как раз таки нету в плане выгоды, это тебе не компании откуда можно красть данные или еще что сделать. Это простые игроки у которых большинство нечего и красть. Проще майнер установить или что-то еще, а это можно обойтись и без этого, доверия игроков к стиму большое и по запросу админ прав дают)

Ответить
5

майнер

Ну вот и выгода, тем более игровое оборудование. Учитывая распространенные видеокарты, 25-50 центов с одного зомби.

доверия игроков к стиму большое и по запросу админ прав дают

Он и не спрашивает, и сам даёт, в том-то и дело.

Ответить
0

я говорю что майнеры и так существуют в инди говно играх, ну или существовали без этой уязвимости. Т.е. права давали сами игроки когда игра спрашивала при запуске, ну или просто стим запускается правами админа. Это уже много привилегии дает. Да уязвимость большая, но и без них было много)

Ответить
0

Ну для этого надо игру в стим сначала выложить и чтобы её скачали много народу, а тут можно было и с левой стороны просто с юзера подложить, и до админа через стим апнуть.

Ответить
3

нечего красть? ты адекватный? на пк могут быть данные для шантажа, ценное интеллектуальное имущество, корпоративная информация. Можно залить цп и засветить комп, чтобы человек сел на годы. Нечего красть

Ответить
0

Да, именно ничего красть. Корпоративная инфо или ещё какая выбирается умышленно зная об этом. В данном случае с этим ничего красть кроме паролей

Ответить
13

профили сделали закрытыми из-за нового закона ЕС о защите персональных данных вообще-то. Оттуда же и эта дебильная фишка, когда на всех западных сайтах перед чтением предлагают согласиться сохранить "кукис".

Ответить
8

Ох и надоели эти выпадающие сообщения.

Ответить
–30

Фига чела заминусовали боты EGS, вполне здравая мысль.

Ответить
20

нет, просто слишком тупая теория

Ответить
5

Если ты считаешь, что миром управляют рептилоиды с нибиру, то и это тебе покажется здравым.

Ответить
0

Скорее наоборот.

Ответить
4

Его забанили за нарушение правил Hacker One за то что он опубликовал уязвимость и автор это признал. Откуда вообще в принципе могла родится теория заговора с ЕГС

Ответить
11

Так ведь Valve перевела его репорт в статус N/A (Not Applicable)

Вот что это статус означает - https://docs.hackerone.com/hackers/report-states.html
"The report doesn't contain a valid issue and has no security implications."

То есть его забанили за то, что он разгласил информацию, которая по мнению Valve не является информацией об узявимости и не несёт рисков безопасности? Я верно понял вас?

Ответить
1

Типа того. Но в оригинальной статье с хабра ваще мутная история. Сначала дыру не признавали HackerOne, потом признали и отправили в valve, в valve ее реджектнули с n/a, чувак после этого сказал что тогда разгласит ее, HackerOne начали уговаривать его не делать этого и в момент разглашения проблемы вышла бета Steam-клиента с багфиксом и в это же время чувака забанили в bug bounty-программе.

Ответить
0

Если бы валв была малоизвестной компанией, то я бы сказал, что его просто захотели кинуть на деньги.

Ответить
4

С моей точки зрения ситуация такая "Ой, да пофигу, отстань, мы не будем этим заниматься, это не уязвимость." А потом такие "Но не рассказывай об этом, потому что это уязвимость!".

Как бы противоречие самим себе. Вы либо не запрещайте говорить о "проблеме" или признайте, что это проблема без кавычек и исправьте. Ну и баунти выплатите.

Ответить
0

Ну так оно и было по сути

Ответить
6

Люблю теории заговора, но эта слишком простая и короткая.

Ответить
0

Устроить в HackerOne своих и даже в поддержку Valve, чтобы они не принимали или мешали принятию - это не просто же, Эпики молодцы : )

Ответить
4

Никогда не приписывайте злому умыслу то, что вполне можно объяснить глупостью.

Скорее всего просто бюрократические заморочки или не компетентные сотрудники внутри корпорации.

Ответить
4

Поправь шапочку

Ответить
3

Что то мне подсказывает, что Василий Кравец появился задолго до EGS и наверное даже Fortnite.

Ответить
2

Что-то мне подсказывает что у вас паранойя и EGS-фобия

Ответить
0

а после этого Valve сделала профили приватными по умолчанию

Камон, это же сделали из-за европейской GDPR.

Ответить
1

Смотри дату своей новости.

Ответить
0

О «шумихе» с GDPR было известно сильно заранее, потому что компаниям дали время на подготовку.

Ответить
12

Пытались сэкономить, а в итоге оперативно переобулись.

Ответить
4

О, половину дела сделали.
Осталось только вознаграждение выплатить тому, кто уязвимость нашёл.

Ответить
3

Ну парень на хабре в коментах признал, что бан получил заслужено за публикацию бага в открытый доступ, но думаю всё равно разбанят. Дело времени

Ответить
29

За публикацию чего? Они же на тот момент отказывались признавать это как баг? Чувак опубликовал что-то совершенно безопасное с их точки зрения, а тут они видите ли передумали.

Ответить
3

Ну он предупредил h1, что раскроет данные о уязвимости, h1 не разрешил (до полного разбирательства или хз чего), автор всё равно опубликовал. Ну то есть он ещё на момент публикации первой статьи понимал, что скорее всего его забанят

Ответить
19

Так ещё хуже - ребята и рыбку хотели съесть, и на х*й сесть. Удобно устроились - это не баг, денег не дадим, но выкладывать этот не-баг не разрешаем.

Ответить
9

Все вопросы к h1. Там те ещё хуи

Ответить
11

Вот-вот. У меня вообще подозрение, что они (h1) так втихую подшабашивают - хакерам дают от ворот поворот, а потом через подставных "обналичивают" найденую уязвимость сами. А сейчас просто вылезло в новости.

Ответить
0

> до полного разбирательства или хз чего

А что, кто-то собирался разбираться?
Валве явно указала, что уязвимости через дроп файлов на машину пользователя они не рассматривают и вообще это не проблема.

Ответить
6

Неправда, он не считает что бан получил заслуженно. И по здравому смыслу он прав. Он сообщил о баге. Ему сказали что это не баг и потребовали не раскрывать об этом инфу. Если это не баг, то он имеет право говорить об этом сколько вздумается. Более того, он дал им 45 дней на исправление проблемы, хотя мог не давать ни одного, поскольку "это не проблема" с точки зрения HackerOne

Ответить
0

Согласен, я не прав. Но я всё равно считаю что он ничего не нарушал.

Ответить
0

Разбанили, наградили

Ответить
7

Наградить за найденные уязвимости.
Отобрать награды за публикацию уязвимостей.
Все.

Ответить
0

ну так и произошло когда его забанили

Ответить
–6

Специалист по информационной безопасности слил в сеть информацию о двух критических уязвимостях в открытый доступ. Я, конечно, понимаю, что чувак обиделся на решение компании, даже смог им отомстить, после чего компания признала свою ошибку по отношению к нему, однако, из-за действий этого чувака могли пострадать обычные пользователи. Мне интересно, готов ли он понести ответственность за возможный ущерб, принесённый пользователям, которых могли ломануть благодаря слитой информации? Конечно, изначально это компания виновата в появлении этих ошибок, но Valve не разбрасывалась информацией о них направо-налево, тем более, что об ошибках даже не знали. А этот персонаж чуть ли не всучил "ключи от входных дверей" прямо в руки ворам.

Ответить
14

Если нашел один человек, то найдут и другие. Решив заявить о баге в открытую, он заставил Valve избавиться от этого бага, которым уже могли пользоваться злоумышленники.

Ответить
8

Мне интересно, готов ли он понести ответственность за возможный ущерб

Не принято как ошибка

Сроки удержания информации вышли

Претензии к h1, а не к нему. Подобных незакрытых уязвимостей мешок на гитхабе валяется. Воспроизводи-воруй-убивай-ебисистему.

Ответить
3

Вот представь, идешь ты мимо забора очень важного предприятия.
Жизненно важного для города.
Типа производства воды в бутылках. И видишь, что в заборе есть дыра, через которую можно подобраться к складу, и отравить партию воды. Многие могут пострадать. Идешь к вахтеру и говоришь "У вас дыра в заборе!", а он "ой, если кто-то будет пить из отравленной бутылки, это не наша проблема, надо проверять, что вода запечатана. ЭТО НЕ ПРОБЛЕМА! Отстань"
Ты пишешь заметку в газету, а тебя еще и бьют потом вахтеры, потому что привлек внимание.

Несколько утрированно, но зато "более понятно".
Человек привлек внимание к проблеме, которую хотели "замолчать".
Если кто-то не хочет латать дырку, но при этом хочет, чтобы не привлекали внимания - он сам себе злой буратино и за такое раскрытие наказания быть не должно.

Ответить
0

Причём, травление воды в их мире - норма.

Ответить
1

Вы, в общем, правы в том смысле, что это был риск, конечно. Но оставлять как есть было гораздо рискованнее (даже не разы, а порядки), и в первую очередь как раз для пользователей. Так что он в итоге все правильно сделал — выбрал из двух зол и угадал, Геральт может завидовать.

Ответить
–2

"Лучший в мире магазин игр"....

Ответить
9

Такой комментарий, как будто уязвимостей в других ПО нет, или даже порой в целых ОС. То, что пока никому не интересно было ковырять ЕГС, или другие "не лучшие" магазины игр - ваще ни о чём не говорит.

Ответить
–5

Я что-то не помню чтобы другие магазины называли "лучшими".

Ответить
1

Офигеть, зачем я тебе вообще отвечал?

Ответить
–5

Ты что сейчас высрал?!

Ответить
1

Лучшие процессоры в мире (от Интел на тот момент) целый год были уязвимы к Meltdown, и ни хера с этим сделать не могли и это год только когда все это всплыло, а так то уязвимость там более 6 лет была.

Ответить
2

Всего лишь им следовало воспринимать ошибку всерьез)

Ответить
0

Все таки ответили, сколько уже месяц прошел)

Ответить
2

ну запостил он первый пост 7 августа, так что как бы точно не один день

Ответить
1

ну это я к тому что не так много времени прошло, пока всё узнали, пока исправили, пока разобрались во всём. Не факт что глава валв об этом узнал не дней 5 назад. Программисты увидели в сети бугурт, залатали и дальше работать. А отчеты гейб не читает)

Ответить
0

ну эт понятно, просто тут я уже как слоупок прочитал статью изначально, я думал вобше багрепорт не пропустили)

Ответить
0

Первая уязвимость, вроде в июле была обнаружена.

Ответить
6

ну по сути он обнаружил давно его, просто в открытый доступ в августе выложил

Ответить
0

Да, глянул на хабре у него всё по датам расписано - 15 июня был отправлен отчет в HackerOne о первой уязвимости.

Ответить
0

как по мрёте приедем

Ответить
0

Комментарий удален по просьбе пользователя

Ответить
0

Кинули на вознаграждение за уязвимость, классическая классика

Ответить
–1

Поздравляю будущего гражданина США!

Ответить
0

Он же суровый русский хакер, вряд ли таких берут в гражданины США.

Ответить

Прямой эфир

[ { "id": 1, "label": "100%×150_Branding_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox_method": "createAdaptive", "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "ezfl" } } }, { "id": 2, "label": "1200х400", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "ezfn" } } }, { "id": 3, "label": "240х200 _ТГБ_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fizc" } } }, { "id": 4, "label": "Article Branding", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "p1": "cfovz", "p2": "glug" } } }, { "id": 5, "label": "300x500_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "ezfk" } } }, { "id": 6, "label": "1180х250_Interpool_баннер над комментариями_Desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "clmf", "p2": "ffyh" } } }, { "id": 7, "label": "Article Footer 100%_desktop_mobile", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fjxb" } } }, { "id": 8, "label": "Fullscreen Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fjoh" } } }, { "id": 9, "label": "Fullscreen Mobile", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fjog" } } }, { "id": 10, "disable": true, "label": "Native Partner Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyb" } } }, { "id": 11, "disable": true, "label": "Native Partner Mobile", "provider": "adfox", "adaptive": [ "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyc" } } }, { "id": 12, "label": "Кнопка в шапке", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fdhx" } } }, { "id": 13, "label": "DM InPage Video PartnerCode", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox_method": "createAdaptive", "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "clmf", "p2": "flvn" } } }, { "id": 14, "label": "Yandex context video banner", "provider": "yandex", "yandex": { "block_id": "VI-250597-0", "render_to": "inpage_VI-250597-0-1134314964", "adfox_url": "//ads.adfox.ru/228129/getCode?pp=h&ps=clmf&p2=fpjw&puid1=&puid2=&puid3=&puid4=&puid8=&puid9=&puid10=&puid21=&puid22=&puid31=&puid32=&puid33=&fmt=1&dl={REFERER}&pr=" } }, { "id": 15, "label": "Баннер в ленте на главной", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "p1": "byudo", "p2": "ftjf" } } }, { "id": 17, "label": "Stratum Desktop", "provider": "adfox", "adaptive": [ "desktop" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fzvb" } } }, { "id": 18, "label": "Stratum Mobile", "provider": "adfox", "adaptive": [ "tablet", "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fzvc" } } } ]