A Valve informou que o desenvolvedor russo Vasily Kravets teve seu prêmio negado por engano no programa HackerOne. Como edição do The Register, o estúdio corrigirá as vulnerabilidades detectadas e considerará emitir um prêmio para Kravets.
Em 7 de agosto de 2019, o especialista em segurança Vasily Kravets publicou um artigo sobre vulnerabilidades de escalonamento de privilégios locais do Steam. Isso permite que qualquer malware aumente sua influência no Windows. Antes disso, o desenvolvedor notificou a Valve com antecedência, mas a empresa não respondeu. Os especialistas da HackerOne relataram que não há recompensas para tais erros. Depois que a vulnerabilidade foi divulgada publicamente, o HackerOne enviou a ele um aviso de remoção do programa de recompensas.
Mais tarde descobriu-se que ele não foi a única pessoa que descobriu a vulnerabilidade do Steam. Outro especialista, Matt Nelson, disse que escreveu sobre um problema semelhante e seu pedido também foi rejeitado.
Agora a Valve afirmou que o incidente foi um erro e mudou o princípio de aceitação de bugs no Steam. De acordo com o novo livro de regras, qualquer vulnerabilidade que permita que malware aumente seus privilégios através do Steam será investigada pelos desenvolvedores.
Fonte: 3dnews.ru