Valve anunciou que lle denegaron por erro un premio HackerOne ao desenvolvedor ruso Vasily Kravets. The Register informou de que o estudo corrixirá as vulnerabilidades descubertas e considerará outorgarlle unha recompensa a Kravets.
O 7 de agosto de 2019, o investigador de seguridade Vasily Kravets publicou un artigo sobre as vulnerabilidades de escalada de privilexios locais de Steam. Isto permite que calquera malware aumente o seu impacto en Windows. O desenvolvedor notificara a Valve con antelación, pero a empresa non respondeu. Os especialistas de HackerOne afirmaron que estes erros non son elixibles para unha recompensa. Despois de revelar publicamente a vulnerabilidade, HackerOne envioulle unha notificación descalificándoo do programa de recompensas.
Máis tarde soubose que non fora a única persoa en descubrir a vulnerabilidade de Steam. Outro investigador de seguridade, Matt Nelson, informou de que xa informara dun problema similar e que a súa solicitude tamén fora rexeitada.
Valve declarou agora que o incidente foi un erro e revisou a súa política de notificación de erros en Steam. Segundo a nova política, calquera vulnerabilidade que permita que o software malicioso incremente os seus privilexios a través de Steam será investigada polos desenvolvedores.
Fonte: 3dnews.ru
