بالأمس رددنا أن Valve ، الشركة المسؤولة عن Steam ، طرد من برنامج HackerOne للباحث الذي اكتشف العديد من نقاط الضعف في المنصة. بعد اكتشاف الخطأ الأول ، الذي لم يصحح الخطأ ، قال الباحث مرة أخرى ردد خطأ آخر أثر على جميع مستخدمي Steam في Windows، مما جعل الشركة تتفاعل بسرعة ، وحل المشكلة في النسخة التجريبية.
اليوم ، لدينا أخبار تفيد بأن Valve يدعي أنه كان من الخطأ طرد Vasily Kravets (الباحث) ، وأن كل ذلك كان بسبب "سوء فهم للقواعد". هذا أدى لاستبعاد هجوم أكثر خطورةوالتي نفذت تصاعد الامتيازات المحلية من خلال Steam.
يعترف Valve بالخطأ ، لكن لا يزال يتم طرد المحقق من البرنامج
قام Valve بتحديث قواعد برنامج HackerOne ، مشيرًا الآن إلى أن المشكلات التي اكتشفها الباحث أصبحت في متناولهم. على وجه التحديد، تم اكتشاف أنه كان من الممكن تشغيل البرامج الضارة محليًا من أي جهاز Windows لاستخدام Steam ، حيث مكنت الثغرة أذونات القراءة والكتابة على أجهزة الكمبيوتر.
بعد الإعلان عن الثغرة الأمنية ، طرد Valve Kravets ، الذي قرر الرد "على الهجوم" بضعف آخر ، والذي ما زال يسمح بالوصول المحلي إلى أجهزة الكمبيوتر مع Windows. بعد أيام ، تم تصحيح هذه الأخطاء بواسطة Steam و Valve تقرير أنه كان من الخطأ عدم تضمينها في HackerOne بسبب سوء فهم القواعد.
من ناحية أخرى ، وجد مات نيلسون ، المطور الثاني الذي كشف ثغرة أمنية أخرى ، استجابة مماثلة. حسب الحساب تم حظر تعليقك حتى لا يستطيع أحد الردومن HackerOne كان قد تمت دعوته لعدم الإبلاغ عن مثل هذه الأخطاء "بعيد المنال".
"نطلب منك أن تتعرف على إرشادات الإفصاح الخاصة بنا وتضمن أنك لا تضع الشركة أو نفسك. يرجى ملاحظة أننا لن نسمح بالإفصاحات إذا تم وضع علامة عليها خارج النطاق أو لا ينطبق عليها ، أو إذا لم يكن Valve اتخذت إجراءات تصحيحية / تخفيف محددة.
بعد كل "أوبرا الصابون" ، يدعي Kravets ، المحقق الذي تم طرده من البرنامج ، أنه لم يتلق أي اتصال من Valve (على الرغم من أنهم اعترفوا بالخطأ) ، و الحساب الذي لا يزال محظورًا من قسم أخطاء HackerOne.
عبر | ArsTechnica
يعترف Share Valve بأنه كان من الخطأ طرد الباحث الذي اكتشف العديد من نقاط الضعف من HackerOne
