Войти
» » Valve признала, что российскому специалисту по ошибке отказали в награде за две найденные уязвимости в Steam

Valve признала, что российскому специалисту по ошибке отказали в награде за две найденные уязвимости в Steam

0 36 admin 26-08-2019 23:18 Новости из мира игр

Valve признала, что российскому специалисту по ошибке отказали в награде за две найденные уязвимости в SteamСотрудники Valve заявили, что внесут изменения в правила своей баунти-программы для хакеров HackerOne, а также исправят две критические уязвимости, которые обнаружил специалист по информационной безопасности Василий Кравец.

Изначально Кравец сообщил о недочётах в коде Steam через HackerOne, однако его отчёт не приняли, заявив, что за подобные ошибки не выдают вознаграждений. Попытка начать спор окончилась ничем, и специалист выложил описание уязвимости в открытый доступ, за что получил бан на HackerOne.

В итоге он подробно рассказал в сети о двух брешах безопасности характера local privilege escalation (LPE), позволявших выполнить на ПК жертвы любой код с максимальными привилегиями. Помимо прочего это давало злоумышленникам отключать файрволы и антивирусы, а также красть личные данные.

В Valve признали ошибку лишь несколько дней спустя, назвав ситуацию «недопониманием». Однако в компании не сказали, получит ли Кравец вознаграждение и снимут ли с него блокировку на HackerOne. По словам сотрудников Valve, «они отдельно рассмотрят ситуации, связанные с каждым из специалистов».

Баунти-программу для Steam запустили в начале мая 2019 года. По данным Valve, с тех пор пользователи нашли более 500 уязвимостей, а компания выплатила вознаграждения общей суммой 675 тысяч долларов.

Источник