Valve a rapporté que le développeur russe Vasily Kravets s'était vu refuser par erreur une récompense dans le cadre du programme HackerOne. Comment édition de The Register, le studio corrigera les vulnérabilités découvertes et envisagera de décerner une récompense à Kravets.
Le 7 août 2019, le spécialiste de la sécurité Vasily Kravets a publié un article sur les vulnérabilités d'élévation de privilèges locales de Steam. Cela permet à tout malware d’augmenter son influence sur Windows. Avant cela, le développeur avait informé Valve à l'avance, mais la société n'avait pas répondu. Les spécialistes de HackerOne ont signalé qu'il n'y avait aucune récompense pour de telles erreurs. Après que la vulnérabilité ait été révélée publiquement, HackerOne lui a envoyé un avis de suppression du programme de primes.
Il s’est avéré plus tard qu’il n’était pas la seule personne à avoir découvert la vulnérabilité de Steam. Un autre spécialiste, Matt Nelson, a déclaré avoir écrit sur un problème similaire et que sa candidature avait également été rejetée.
Maintenant, Valve a déclaré que l'incident était une erreur et a changé le principe d'acceptation des bugs sur Steam. Selon le nouveau règlement, toute vulnérabilité permettant à un logiciel malveillant d'élever ses privilèges via Steam fera l'objet d'une enquête par les développeurs.
Source: 3dnews.ru