Valve admitió haber cometido un error al negar las solicitudes de un investigador de seguridad sobre potenciales vulnerabilidades en Steam. El reconocimiento de este error por parte de Valve vino poco después de que Vasily Kravets publicara los detalles de una vulnerabilidad potencialmente explotable en Steam.
Anteriormente a esto, según Kravets, Valve se negó a pagarle dinero tras la revelación de una vulnerabilidad por parte del hacker, quienes argumentaron que el nivel de seguridad de la misma era muy bajo como para merecer un pago. Valve incluso baneó a Kravets de su programa HackerOne, el cual se encuentra diseñado para reportar vulnerabilidades de alto nivel a cambio de dinero.
En respuesta a esto, Vasily Kravets reveló públicamente otra vulnerabilidad de seguridad en la aplicación de Steam. La severidad de la misma es similar a la anterior que él reportó a Valve y, según indica, no es tan difícil de explotar. Tras esto, Valve admitió haberse equivocado en la clasificación de estas vulnerabilidades.
“Las reglas de nuestro programa HackerOne estaban destinadas a solamente excluir reportes de Steam siendo instruido a iniciar malware previamente instalado en la máquina de un usuario como usuario local” dijo Valve a The Register. “En cambio, una mal interpretación de las reglas llevó a la exclusión de un ataque más serio que también utilizaba una escalada de privilegios locales a través de Steam”.
Valve continuó, diciendo que actualizaron las reglas de su programa HackerOne. Además aseguraron que planean seguir trabajando junto a piratas informáticos para mejorar la seguridad en sus productos. En cuanto a las 2 vulnerabilidades que reportó Kravets, ya recibieron un parche en la última actualización del cliente de Steam.
¿Qué opinas de esta polémica?
Fuente: PCGamesN