Valve heeft onlangs voor controverse gezorgd onder degenen in de kring van white hat-hackers. Het bedrijf heeft via cyberbeveiligingsbedrijf HackerOne een bugrapport van een onafhankelijk beveiligingsonderzoeker afgewezen. Deze onderzoeker mocht niet alleen verdere fouten melden, maar vond ook een tweede van dezelfde aard.
ADVERTENTIE
Beveiligingsonderzoeker Vasily Kravets meldde voor het eerst een kwetsbaarheid in Steam waardoor bestaande malware op een Windows-pc beheerderstoegang kreeg via de Steam-app. Kravets informeerde vervolgens HackerOne, maar kreeg te horen dat de kwetsbaarheid buiten bereik was. Hij maakte de kwetsbaarheid eerder deze maand publiekelijk bekend. Dit zorgde ervoor dat hij werd verbannen om verdere bugs aan Valve te melden via HackerOne.
Valve heeft een patch uitgebracht na de openbare onthulling, maar een andere beveiligingsonderzoeker, Xiaoyin Liu, zei dat het mogelijk is om de oplossing te omzeilen. Kravets heeft sindsdien ook een andere kwetsbaarheid gevonden, die ook beheerdersrechten verleent aan bestaande malware.
Een derde beveiligingsonderzoeker, Matt Nelson, vond ook een van de door Kravets ontdekte bugs. Hij rapporteerde ook aan HackerOne, maar kreeg hetzelfde antwoord als Kravets. Nelson meldde zijn ontdekking vervolgens rechtstreeks aan Valve. Het bedrijf erkende het rapport, maar vertelde Nelson dat hij “geen verdere communicatie zou moeten verwachten”.
Valve beweert sindsdien beide kwetsbaarheden te hebben verholpen en de HackerOne-programmaregels te hebben bijgewerkt om aan te geven dat dergelijke bugs in de buurt zijn. Het bedrijf beschouwde de eerdere afwijzing van het bugrapport als een verkeerde lezing van de bugbounty-regels. Dat gezegd hebbende, lijkt het erop dat het verbod van Kravets op het melden van verdere bugs nog moet worden teruggedraaid.
(Bron: Vasily Kravets via Ars Technica, TNW)
