Valve melaporkan bahwa pengembang Rusia Vasily Kravets secara keliru ditolak penghargaannya di bawah program HackerOne. Bagaimana edisi The Register, studio akan memperbaiki kerentanan yang terdeteksi dan mempertimbangkan untuk memberikan penghargaan kepada Kravets.
Pada tanggal 7 Agustus 2019, spesialis keamanan Vasily Kravets menerbitkan artikel tentang kerentanan eskalasi hak istimewa lokal Steam. Hal ini memungkinkan malware apa pun untuk meningkatkan pengaruhnya pada Windows. Sebelumnya, pengembang telah memberi tahu Valve terlebih dahulu, tetapi perusahaan tidak merespons. Spesialis HackerOne melaporkan bahwa tidak ada imbalan atas kesalahan tersebut. Setelah kerentanan tersebut diungkapkan kepada publik, HackerOne mengiriminya pemberitahuan penghapusan dari program bounty.
Belakangan ternyata dia bukan satu-satunya orang yang menemukan kerentanan Steam. Spesialis lainnya, Matt Nelson, mengatakan bahwa dia menulis tentang masalah serupa dan lamarannya juga ditolak.
Kini Valve telah menyatakan bahwa kejadian tersebut adalah sebuah kesalahan dan telah mengubah prinsip menerima bug di Steam. Menurut buku peraturan baru, kerentanan apa pun yang memungkinkan malware meningkatkan hak istimewanya melalui Steam akan diselidiki oleh pengembang.
Sumber: 3dnews.ru