Valve недавно вызвала споры среди тех, кто в хакерском кругу в белой шляпе. Компания, через фирму кибербезопасности HackerOne, отклонила сообщение об ошибке независимого исследователя безопасности. Указанному исследователю не только запретили сообщать о большем количестве ошибок, но также нашли вторую такую же.
РЕКЛАМА
Исследователь безопасности Василий Кравец впервые сообщил об уязвимости в Steam, которая позволила существующему вредоносному ПО Windows ПК, чтобы получить доступ администратора через приложение Steam. Затем Кравец сообщил HackerOne, только чтобы сообщить, что уязвимость выходит за рамки. Затем он обнародовал уязвимость в начале этого месяца. Это заставило его забанить форму, сообщающую о большем количестве ошибок в Valve через HackerOne.
Valve выпустила патч после публичного раскрытия, но другой исследователь безопасности, Xiaoyin Liu, сказал, что это возможно обойти. Кравец также с тех пор обнаружил еще одну уязвимость, которая также предоставляет существующим правам администратора вредоносных программ.
Третий исследователь безопасности, Мэтт Нельсон, также обнаружил одну из ошибок, обнаруженных Кравцем. Он тоже сделал отчет в HackerOne, только чтобы получить тот же ответ, что и Кравец. Затем Нельсон сообщил о своем открытии непосредственно Valve. Компания подтвердила отчет, но сказала Нельсону, что «не ожидает дальнейшего общения».
Valve утверждает, что с тех пор исправила обе уязвимости и обновила свои правила программы HackerOne, указав, что ошибки такого рода находятся в пределах видимости. Компания записала предыдущий отказ в отчете об ошибке как неправильное толкование правил вознаграждения за ошибки. Все это говорит о том, что запрет Кравецу сообщать о новых ошибках еще не был отменен.
(Источник: Василий Кравец с помощью Арс Техника, ТЯО)
