今年6月,一位俄罗斯网络安全人员Vasily Kravets向Valve 回报Steam存在存在巨大安全漏洞,玩家有可能会被植入恶意程序而被入侵,然而Valve方面没有理会Vasily Kravets却偷偷的对Steam程序进行了更新而没有付给Vasily Kravets赏金!
Vasily Kravets也气愤的公开了这个漏洞,公开自己遭 Valve 封锁回报一事引来玩家热议。最近Vasily Kravets爆料他再次发现 Steam客户端存在新的漏洞,而且这次的漏洞不需要symbolic links便能取得控制电脑权限,简单来说就是,玩家从Steam下载被植入恶意代码的游戏程序,电脑便有可能遭到安全性入侵。
Kravets这次之所以再度透过公开网络发布讯息,原因正是 HackerOne 漏洞赏金平台通知他的回报已遭 Valve 排除封锁,意即 Valve 拒绝再接受 Kravets 的漏洞回报。因为HackerOne的封锁,Kravets 自然无法由正规管道取得自己发现漏洞应得的奖励,只得在网上直接公开,此举也获得其他网络安全人员的关注,不理解Valve 为何封锁外界的漏洞回报。
这起事件经英国科技媒体 The Register报道后,让 Steam 漏洞再度获得玩家关注,也令 Valve 迅速出面向 The Register 回应,并表示这一切都是他们与 HackerOne 网站的合作规章有误解所导致。
Valve 向The Register 解释:「在我们的HackerOne 计划规则中,原先只有那些在启动Steam客户端之前,客户端使用者电脑就被植入恶意软件的漏洞回报会排除掉,不过这项规则的误解确实导致我们过滤掉某些透过客户端权限扩张来对Steam客户端进行严重入侵攻击的回报。」
Valve 进一步解释:「我们已经更新了HackerOne 的计划规则,以明确说明在范围内的哪些问题应该呈告。在过去两年,我们在社群的帮助下与263 位安全人员有过合作并给予奖金,修正了约500 项安全问题,也付了超过67.5 万美元的赏金。我们期望能继续与网络安全社群合作,并透过HackerOne 计划增进我们产品的安全性。」最终,这项漏洞终于获得 Valve 承认并且祭出修正,还给 Kravets 应有的公道。
0条评论