Valve připouští, že to udělalo chybu ignorování zprávy o bezpečnostní chybě výzkumného pracovníka předložené do jejího programu Bug Bounty
Valve připustil, že udělal chybu, když odmítl podání podání bezpečnostního výzkumného pracovníka zveřejňujícího potenciální nedostatky v páře. Potvrzení jménem Valve přichází krátce poté, co výzkumný pracovník Vasily Kravets veřejně upustil od podrobností o zranitelnosti nulového dne, který je potenciálně využitelný v rámci parní hry po špatné interakci se společností.
Předchůdce toho, a podle Kravets, Valve odmítl vykašlit jakoukoli hotovost za předchozí nadmořskou výšku oprávnění, kterou výzkumný pracovník objevil, přičemž společnost tvrdila, že závažnost vady byla příliš nízká na to, aby ověřil jakoukoli výplatu. Valve dokonce zakázal Kravets Hackerone udržoval program Bug Bounty po dalším upadnutí týkající se této záležitosti (via Registrace).
V reakci na to Kravets veřejně zveřejnil další výšku privilegií v aplikaci Steam. Závažnost této vady je stejně podobná a vyžadovala by nějakou formu místního přístupu k vykořisťování. Kravets však tvrdí, že kvůli samotné povaze Steam jako trhu ke stažení a instalaci aplikací třetích stran to nemusí být tak těžké dosáhnout. Dáhavý dev s nedůvěryhodným instalátorem by mohl být vše, co je potřeba k využití vady a vyplnění počítače až do svých USB portů malwarem.
Valve však nyní přijal, že to mohlo udělat chybu při klasifikaci těchto nedostatků.
„Naše pravidla Hackerone Programu byla určena pouze k vyloučení zpráv o tom, že Steam je instruován k uvedení dříve nainstalovaného malwaru na stroj uživatele jako místní uživatel,“ říká Valve Registrace. „Místo toho nesprávná interpretace pravidel také vedla k vyloučení vážnějšího útoku, který také provedl eskalaci místních privilegií prostřednictvím páry.“
„Aktualizovali jsme naše pravidla programu Hackerone, abychom výslovně uvedli, že tyto problémy jsou v rozsahu a měly by být hlášeny. V posledních dvou letech jsme spolupracovali a odměnili 263 výzkumných pracovníků v oblasti bezpečnosti v komunitě, kteří nám pomáhali identifikovat a korigovat zhruba 500 bezpečnostních problémů a vyplácet přes 675 000 $ v odměňování. Těšíme se, až budeme pokračovat ve spolupráci s bezpečnostní komunitou na zlepšení zabezpečení našich produktů prostřednictvím programu HackerOne.“
Program Bounty Bounty Valve nabízí hotovostní odměny každému, kdo se může objevit a přesně nahlásit bezpečnostní chybu ve svém systému, který by mohl nepoužitý agent k provedení škodlivého útoku na uživatele porušením systémových privilegií. Kdokoli kromě Kravetů. Navzdory novým změnám politiky Valve je stále zakázán program (ale zvažují zákaz obrácení).
Program Valve nabízí 2 000 $+ pro určité nedostatky s vysokou těžkou. To však zmizí ve srovnání s nedávným programem pro prohlížeče prohlížeče společnosti Microsoft, který nabízí až 30 000 $ za zveřejnění kritických nedostatků.
Pokud jde o dvě bezpečnostní nedostatky, Valve údajně opravuje jak v aktualizacích, které se právě vyskytují právě teď. Klient Beta Steam Client řeší problémy zcela a některé počáteční opravy se zavázaly do veřejného vydání pro všechny uživatele.