Valve признала, что российскому специалисту по ошибке отказали в награде за две найденные уязвимости в Steam

Сами критические бреши в безопасности пообещали устранить.

Сотрудники Valve заявили, что внесут изменения в правила своей баунти-программы для хакеров HackerOne, а также исправят две критические уязвимости, которые обнаружил специалист по информационной безопасности Василий Кравец.

Изначально Кравец сообщил о недочётах в коде Steam через HackerOne, однако его отчёт не приняли, заявив, что за подобные ошибки не выдают вознаграждений. Попытка начать спор окончилась ничем, и специалист выложил описание уязвимости в открытый доступ, за что получил бан на HackerOne.

В итоге он подробно рассказал в сети о двух брешах безопасности характера local privilege escalation (LPE), позволявших выполнить на ПК жертвы любой код с максимальными привилегиями. Помимо прочего это давало злоумышленникам отключать файрволы и антивирусы, а также красть личные данные.

В Valve признали ошибку лишь несколько дней спустя, назвав ситуацию «недопониманием».

Правила нашей программы HackerOne должны были исключить все сообщения о возможности запустить через Steam уже установленное вредоносное ПО в качестве локального пользователя.

Однако из-за неверной трактовки в число таких исключений попала куда более серьёзная атака, позволявшая провести LPE через Steam. Мы уже обновили правила программы HackerOne, чтобы пояснить, что такие уязвимости входят в неё.

из заявления Valve

Однако в компании не сказали, получит ли Кравец вознаграждение и снимут ли с него блокировку на HackerOne. По словам сотрудников Valve, «они отдельно рассмотрят ситуации, связанные с каждым из специалистов».

Баунти-программу для Steam запустили в начале мая 2019 года. По данным Valve, с тех пор пользователи нашли более 500 уязвимостей, а компания выплатила вознаграждения общей суммой 675 тысяч долларов.

194194
87 комментариев

Ну да, если бы не огласка - это бы так и осталось "недопониманием".

223

скорее всего, но есть подозрение что устранят не скоро если вообще устранят(

5

сериалов насмотрелись?

2

Главное что людям не всё равно и они об этом говорили, сейчас зачастую только таким способом можно достучаться до большой компании.

1

Комментарий недоступен

19

Нихера себе многоходовочка

106

А уязвимости он нашел дабы дискредитировать Steam и ValveДля этого проще было бы продать уязвимость в даркнете ботоводам, а не валву сообщать.

45