Сотрудники Valve заявили, что внесут изменения в правила своей баунти-программы для хакеров HackerOne, а также исправят две критические уязвимости, которые обнаружил специалист по информационной безопасности Василий Кравец.
Изначально Кравец сообщил о недочётах в коде Steam через HackerOne, однако его отчёт не приняли, заявив, что за подобные ошибки не выдают вознаграждений. Попытка начать спор окончилась ничем, и специалист выложил описание уязвимости в открытый доступ, за что получил бан на HackerOne.
В итоге он подробно рассказал в сети о двух брешах безопасности характера local privilege escalation (LPE), позволявших выполнить на ПК жертвы любой код с максимальными привилегиями. Помимо прочего это давало злоумышленникам отключать файрволы и антивирусы, а также красть личные данные.
В Valve признали ошибку лишь несколько дней спустя, назвав ситуацию «недопониманием». Однако в компании не сказали, получит ли Кравец вознаграждение и снимут ли с него блокировку на HackerOne. По словам сотрудников Valve, «они отдельно рассмотрят ситуации, связанные с каждым из специалистов».
Баунти-программу для Steam запустили в начале мая 2019 года. По данным Valve, с тех пор пользователи нашли более 500 уязвимостей, а компания выплатила вознаграждения общей суммой 675 тысяч долларов.