Российскому разработчику, обнаружившему уязвимости в Steam, по ошибке отказали в получении награды
Компания Valve сообщила, что российскому разработчику Василию Кравецу по ошибке отказали в получении награды по программе HackerOne. Как пишет издание The Register, студия исправит обнаруженные уязвимости и рассмотрит вопрос о выдаче награде Кравецу.
7 августа 2019 года специалист по безопасности Василий Кравец опубликовал статью об уязвимостях Steam с повышением локальных привилегий. Это позволяет любому вредному ПО увеличить свое влияние на Windows. Перед этим разработчик заблаговременно оповестил Valve, но компания ничего не ответила. Специалисты HackerOne сообщили, что за подобные ошибки не полагается награда. После публичного обнародования уязвимости платформа HackerOne прислала ему уведомление об отстранении от программы вознаграждений.
Позже выяснилось, что он не единственный человек, обнаруживший уязвимость Steam. Другой специалист Мэтт Нельсон сообщил, что писал об аналогичной проблеме и его заявку тоже отклонили.
Сейчас Valve заявила, что состоявшийся инцидент является ошибкой и переделала принцип приема багов в Steam. Согласно новому своду правил, любая уязвимость, позволяющая вредоносному ПО повышать свои привилегии через Steam, будет изучаться разработчиками.