Valve объяснила ситуацию с уязвимостями в Steam

В начале августа специалист по информационной безопасности Василий Кравец опубликовал данные об уязвимости в клиенте Steam. Она позволяла поднимать привилегии и выполнять команды на более высоком уровне, чем обычно. Кравец ранее сообщил об этом в Valve через HackerOne в рамках программы bug bounty, но в компании отказались рассматривать его заявку. Причём дважды.

Позднее его выводы подтвердил эксперт Мэтт Нельсон, но его отчёт также заблокировали и запретили сообщать об этом. Позднее Valve всё же выпустила патч. Но, как оказалось, его легко обойти.

А на этой неделе Василий Кравец опубликовал подробный отчёт ещё об одной уязвимости в клиенте Steam. Она также связана с повышением привилегий. Самое интересное, что сообщить об этом исследователь уже не может, поскольку его аккаунт на HackerOne заблокировали.

По сути, компания отказалась исправлять проблемы и поставила под угрозу около 100 миллионов пользователей Windows. И лишь вчера, 22 августа, она всё же отреагировала на ситуацию. В бета-версии клиента Steam были исправлены обе уязвимости.

Также был дан официальный комментарий по ситуации. В компании заявили, что всему виной неверное толкование правил платформы HackerOne, что привело к вышеупомянутому инциденту. В Valve заявили, что обновили правила. Что касается первого сообщения эксперта, то его блокировку назвали ошибкой. Правда, бан пока не сняли.