Valve raportoi, että venäläiseltä kehittäjältä Vasily Kravetsilta evättiin vahingossa HackerOne-ohjelman palkinto. Miten The Register -julkaisun, studio korjaa havaitut haavoittuvuudet ja harkitsee palkinnon myöntämistä Kravetsille.
Turvallisuusasiantuntija Vasily Kravets julkaisi 7. elokuuta 2019 artikkelin Steamin paikallisten etuoikeuksien eskalaatiohaavoittuvuuksista. Tämän ansiosta haittaohjelmat voivat lisätä vaikutustaan Windowsiin. Tätä ennen kehittäjä ilmoitti Valvelle etukäteen, mutta yritys ei vastannut. HackerOne-asiantuntijat ilmoittivat, että tällaisista virheistä ei saada palkintoja. Haavoittuvuuden julkistamisen jälkeen HackerOne lähetti hänelle poistoilmoituksen palkkio-ohjelmasta.
Myöhemmin kävi ilmi, että hän ei ollut ainoa henkilö, joka löysi Steamin haavoittuvuuden. Toinen asiantuntija Matt Nelson sanoi kirjoittaneensa samanlaisesta ongelmasta ja hänen hakemuksensa myös hylättiin.
Nyt Valve on todennut, että tapaus oli virhe, ja on muuttanut periaatetta bugien hyväksymisestä Steamissä. Uuden sääntökirjan mukaan kehittäjät tutkivat kaikki haavoittuvuudet, joiden avulla haittaohjelmat voivat laajentaa oikeuksiaan Steamin kautta.
Lähde: 3dnews.ru