Valve, Rus geliştirici Vasily Kravets'in HackerOne programı kapsamında ödül almasının yanlışlıkla reddedildiğini bildirdi. Nasıl Stüdyo, The Register'ın yeni sürümünde tespit edilen güvenlik açıklarını düzeltecek ve Kravets'e ödül vermeyi değerlendirecek.
7 Ağustos 2019'da güvenlik uzmanı Vasily Kravets, Steam'in yerel ayrıcalık yükseltme güvenlik açıkları hakkında bir makale yayınladı. Bu, herhangi bir kötü amaçlı yazılımın Windows üzerindeki etkisini artırmasına olanak tanır. Bundan önce geliştirici Valve'ı önceden bilgilendirdi ancak şirket yanıt vermedi. HackerOne uzmanları bu tür hatalar için herhangi bir ödül verilmediğini bildirdi. Güvenlik açığının kamuya açıklanmasının ardından HackerOne, kendisine ödül programından çıkarılma bildirimi gönderdi.
Daha sonra Steam'deki güvenlik açığını keşfeden tek kişinin kendisi olmadığı ortaya çıktı. Bir diğer uzman Matt Nelson ise benzer bir sorunla ilgili yazdığını ve başvurusunun da reddedildiğini söyledi.
Artık Valve, olayın bir hata olduğunu belirterek Steam'deki hataları kabul etme prensibini değiştirdiğini belirtti. Yeni kural kitabına göre, kötü amaçlı yazılımın Steam aracılığıyla ayrıcalıklarını artırmasına izin veren herhangi bir güvenlik açığı geliştiriciler tarafından araştırılacak.
Kaynak: 3dnews.ru