Noticias, Gadgets, Android, Móviles, Descargas de Aplicaciones

HackerOne rechaza el informe de errores de Steam de los investigadores de seguridad; Valve dice que esto fue un error

Valve ha generado controversia recientemente entre aquellos en el círculo de los hackers de sombrero blanco. La compañía, a través de la firma de ciberseguridad HackerOne, rechazó un informe de error de un investigador de seguridad independiente. A dicho investigador no solo se le prohibió reportar más errores, sino que también encontró un segundo de la misma naturaleza.

ANUNCIO

El investigador de seguridad Vasily Kravets informó por primera vez sobre una vulnerabilidad en Steam que permitía al malware existente en una PC con Windows obtener acceso de administrador a través de la aplicación Steam. Kravets luego informó a HackerOne, solo para que le dijeran que la vulnerabilidad estaba fuera de alcance. Luego reveló la vulnerabilidad públicamente a principios de este mes. Esto hizo que se le prohibiera informar más errores a Valve a través de HackerOne.

Valve emitió un parche después de la divulgación pública, pero otro investigador de seguridad, Xiaoyin Liu, dijo que es posible evitar la solución. Kravets también ha encontrado desde entonces otra vulnerabilidad, que también otorga derechos de administración de malware existente.

Un tercer investigador de seguridad, Matt Nelson, también encontró uno de los errores descubiertos por Kravets. Él también hizo un informe a HackerOne, solo para obtener la misma respuesta que Kravets. Nelson luego informó de su descubrimiento directamente a Valve. La empresa reconoció el informe, pero le dijo a Nelson que “no debería esperar más comunicaciones”.

Valve afirma haber solucionado desde entonces ambas vulnerabilidades y haber actualizado las reglas del programa HackerOne para indicar que los errores de esa naturaleza están dentro del alcance. La compañía calculó el rechazo anterior del informe de error como una mala interpretación de las reglas de recompensa por error. Dicho todo esto, parece que la prohibición de Kravets de informar más errores aún no se ha revertido.

(Fuente: Vasily Kravets a través de Ars Technica, TNW)