Valve informó que al desarrollador ruso Vasily Kravets se le negó por error un premio en el marco del programa HackerOne. Cómo edición de The Register, el estudio solucionará las vulnerabilidades detectadas y considerará otorgar un premio a Kravets.
El 7 de agosto de 2019, el especialista en seguridad Vasily Kravets publicó un artículo sobre las vulnerabilidades de escalada de privilegios locales de Steam. Esto permite que cualquier malware aumente su influencia en Windows. Antes de esto, el desarrollador notificó a Valve con anticipación, pero la compañía no respondió. Los especialistas de HackerOne informaron que no hay recompensas por tales errores. Después de que la vulnerabilidad se revelara públicamente, HackerOne le envió un aviso de eliminación del programa de recompensas.
Más tarde resultó que él no fue la única persona que descubrió la vulnerabilidad de Steam. Otro especialista, Matt Nelson, dijo que escribió sobre un problema similar y su solicitud también fue rechazada.
Ahora Valve ha declarado que el incidente fue un error y ha cambiado el principio de aceptar errores en Steam. Según el nuevo libro de reglas, los desarrolladores investigarán cualquier vulnerabilidad que permita al malware escalar sus privilegios a través de Steam.
Fuente: 3dnews.ru