Valve недавно вызвала много критики со стороны сообщества кибербезопасности после того, как отвернула исследователя, который обнаружил пару уязвимостей нулевого дня в Steam и в конечном итоге заблокировал его от своей платформы баунти-багов. Valve теперь узнала обо всем инциденте, и после исправления двух потенциально серьезных уязвимостей Local Privilege Escalation (LPE) компания назвала метод лечения, допущенный для исследователя, ошибкой, а также обновила правила программы вознаграждения за ошибки. Что стоит отметить, так это то, что партнер Valve, который с ним справился, изначально отказывался признать недостаток нулевого дня как серьезную проблему, побудив исследователя безопасности раскрыть его публично.
Российский исследователь безопасности Василий Кравец обнаружил проблему повышения привилегий в локальной сети (LPE) в Steam и приступил к публикации отчета об ошибке. HackerOne, партнер Valve, курирующий программу вознаграждений за ошибки в Steam, вывел отчет за рамки и указал, что Valve не собирается его исправлять. Кроме того, они запретили Кравецу публично раскрывать информацию о проблемах, оставляя миллионы пользователей Steam уязвимыми для уязвимости, которая может позволить локальному вредоносному ПО использовать приложение Steam для получения прав администратора и, в конечном итоге, захватить хост.
Тем не менее, исследователь безопасности в конце концов обнародовал свое открытие, которое привело к тому, что HackerOne запретил ему участвовать в программе защиты от ошибок. И хотя позднее Valve выпустила патч для его исправления, вскоре был обнаружен альтернативный способ его использования. Что еще хуже, Кравец в итоге обнаружил вторую уязвимость LPE и опубликовал ее самостоятельно, так как не смог подать отчет об ошибке.
Вся сага нарисовала негативную картину Valve как компании, которая безрассудно относится к безопасности и безответственно обрабатывает такие уязвимости, в дополнение к плохому обращению с исследователями. Но похоже, что Valve выпустила патч для исправления двух недостатков LPE в Steam и, что более важно, признала, что игнорирование первого сообщения Кравца было ошибкой. Valve также отметил, что вся сага была из-за неправильного понимания правил баунти.
«Правила нашей программы HackerOne были предназначены только для исключения сообщений о том, что Steam получил указание запустить ранее установленное вредоносное ПО на компьютере пользователя в качестве локального пользователя. Вместо этого неправильное толкование правил также привело к исключению более серьезной атаки, которая также выполняла локальное повышение привилегий через Steam », – цитирует Valve слова ZDNet. Кроме того, компания, стоящая за Steam, обновила правила своей программы по вознаграждению за ошибки, чтобы избегайте подобных инцидентов в будущем. Пока изменение правил Valve обнадеживает, исследователю жертвы по-прежнему запрещена программа вознаграждения за ошибки Steam, запущенная HackerOne.
