HackerOne rechaza el informe de error de Steam por investigadores de seguridad; Valve dice que esto fue un error

HackerOne rechaza el informe de error de Steam por investigadores de seguridad; Valve dice que esto fue un error
4.9 (98.46%) 13 votos

HackerOne rechaza el informe de error de Steam por investigadores de seguridad; Valve dice que esto fue un error 1

Valve recientemente ha provocado controversia entre aquellos en el c√≠rculo de hackers de sombrero blanco. La compa√Ī√≠a, a trav√©s de la firma de ciberseguridad HackerOne, rechaz√≥ un informe de error de un investigador de seguridad independiente. Dicho investigador no solo ten√≠a prohibido informar m√°s errores, sino que tambi√©n encontr√≥ un segundo de la misma naturaleza.

ANUNCIO

El investigador de seguridad Vasily Kravets inform√≥ por primera vez sobre una vulnerabilidad en Steam que permit√≠a el malware existente en un Windows PC para obtener acceso de administrador a trav√©s de la aplicaci√≥n Steam. Kravets luego inform√≥ a HackerOne, solo para que le dijeran que la vulnerabilidad estaba fuera de alcance. Luego revel√≥ la vulnerabilidad p√ļblicamente a principios de este mes. Esto lo prohibi√≥ de informar m√°s errores a Valve a trav√©s de HackerOne.

Valve emiti√≥ un parche despu√©s de la divulgaci√≥n p√ļblica, pero otro investigador de seguridad, Xiaoyin Liu, dijo que es posible evitar la soluci√≥n. Desde entonces, Kravets tambi√©n ha encontrado otra vulnerabilidad, que tambi√©n otorga derechos de administrador de malware existentes.

HackerOne rechaza el informe de error de Steam por investigadores de seguridad; Valve dice que esto fue un error 2

Un tercer investigador de seguridad, Matt Nelson, tambi√©n encontr√≥ uno de los errores descubiertos por Kravets. √Čl tambi√©n hizo un informe a HackerOne, solo para obtener la misma respuesta que Kravets. Nelson luego inform√≥ su descubrimiento directamente a Valve. La compa√Ī√≠a reconoci√≥ el informe, pero le dijo a Nelson que "no deber√≠a esperar ninguna otra comunicaci√≥n".

Valve afirma haber solucionado ambas vulnerabilidades y actualizado sus reglas del programa HackerOne para indicar que los errores de esa naturaleza est√°n dentro del alcance. La compa√Ī√≠a atribuy√≥ el rechazo anterior del informe de error como una mala interpretaci√≥n de las reglas de recompensa de errores. Dicho todo esto, parece que la prohibici√≥n de Kravets de informar m√°s errores a√ļn no se ha revertido.

Recomendamos:  Google se carga las notificaciones Nearby de Android por su creciente uso como spam

(Fuente: Vasily Kravets vía Ars Technica, TNW)

Dej√°nos tus Comentarios: