Valve admite que fue un error expulsar de HackerOne al investigador que descubrió varias vulnerabilidades

Valve admite que fue un error expulsar de HackerOne al investigador que descubrió varias vulnerabilidades
4 comentarios Facebook Twitter Flipboard E-mail

Ayer mismo nos hacíamos eco de que Valve, compañía al cargo de Steam, expulsó del programa HackerOne a un investigador que descubrió varias vulnerabilidades en la plataforma. Tras descubrir la primera, que no parcheó el bug, dicho investigador volvió a hacerse eco de una segunda falla que afectaba a la totalidad de usuarios de Steam en Windows, lo que hizo reaccionar a la compañía rápido, solventando el problema en la versión beta.

Hoy, tenemos noticias de que Valve afirma que fue un error expulsar a Vasily Kravets (el investigador), y que todo se debió a "una mala interpretación de las reglas". Esto, condujo a la exclusión de un ataque más serio, que llevó a cabo la escalada de privilegios locales a través de Steam.

Valve admite el error, pero el investigador no deja de estar expulsado del programa

Valve

Valve ha actualizado las reglas del programa HackerOne indicando, ahora sí, que los problemas que detectó el investigador están dentro su alcance. En concreto, se descubrió que era posible ejecutar malware de forma local desde cualquier dispositivo Windows que utilizase Steam, ya que la vulnerabilidad posibilitaba los permisos de lectura y escritura en los PCs.

Tras hacerse pública la vulnerabilidad, Valve expulsó a Kravets, que decidió responder "al ataque" con otra vulnerabilidad más, que seguía permitiendo el acceso local a los ordenadores con Windows. Días más tarde, estos errores se han parcheado de Steam, y Valve comunica que fue un error no incluirlos dentro de HackerOne debido a una mala interpretación de las reglas.

Steam

Por otro lado, Matt Nelson, un segundo desarrollador que expuso otra vulnerabilidad, se encontró con una respuesta similar. Según cuenta, su comentario fue bloqueado para que nadie pudiera responder, y desde HackerOne se le habría invitado a no divulgar este tipo de errores "fuera de alcance."

"Le pedimos que se familiarice con nuestras pautas de divulgación y se asegure de no poner a la empresa ni a usted mismo. Tenga en cuenta que no autorizaremos a divulgar informes si se han marcado fuera del alcance o no son aplicables, o si Valve no ha tomado una medida correctiva / mitigación específica".

Tras todo "el culebrón", Kravets, el investigador que fue expulsado del programa, afirma no haber recibido ninguna comunicación de Valve (pese a que admitieron el error), y cuenta que sigue bloqueado de la sección de errores de HackerOne.

Vía | ArsTechnica

Comentarios cerrados
Inicio