HackerOne Menolak Steam Bug Report Oleh Peneliti Keamanan; Katanya Katanya Ini Kesalahan

Valve baru-baru ini mengundang kontroversi di antara mereka yang berada di lingkaran hacker topi putih. Perusahaan, melalui perusahaan cybersecurity HackerOne, menolak laporan bug oleh peneliti keamanan independen. Peneliti tersebut tidak hanya dilarang melaporkan lebih banyak bug, tetapi juga menemukan bug kedua yang sama.

IKLAN

Peneliti keamanan Vasily Kravets pertama kali melaporkan kerentanan pada Steam yang memungkinkan malware yang ada di a Windows PC untuk mendapatkan akses admin melalui aplikasi Steam. Kravets kemudian melaporkan ke HackerOne, hanya untuk diberi tahu bahwa kerentanannya berada di luar jangkauan. Dia kemudian mengungkapkan kerentanannya di depan umum awal bulan ini. Ini membuatnya dilarang membuat laporan lebih banyak bug ke Valve melalui HackerOne.

Valve mengeluarkan tambalan setelah pengungkapan publik, tetapi peneliti keamanan lain, Xiaoyin Liu mengatakan bahwa mungkin untuk melewati perbaikan. Kravets juga telah menemukan kerentanan lain, yang juga memberikan hak admin malware yang ada.

Peneliti keamanan ketiga, Matt Nelson, juga menemukan salah satu bug yang ditemukan oleh Kravets. Dia juga membuat laporan ke HackerOne, hanya untuk mendapatkan respons yang sama seperti Kravets. Nelson kemudian melaporkan penemuannya langsung ke Valve. Perusahaan mengakui laporan tersebut tetapi mengatakan kepada Nelson bahwa ia "tidak boleh mengharapkan komunikasi lebih lanjut".

Valve mengklaim telah memperbaiki kedua kerentanan tersebut, dan memperbarui aturan program HackerOne-nya untuk menyatakan bahwa bug semacam itu berada dalam ruang lingkup. Perusahaan menyatakan penolakan sebelumnya terhadap laporan bug sebagai salah tafsir dari aturan hadiah bug. Semua yang dikatakan, tampaknya larangan Kravets dari melaporkan lebih banyak bug belum dibatalkan.

(Sumber: Keran Mudah melalui Ars Technica, TNW)