Valve admite erro ao descartar um relatório de vulnerabilidade grave

Claylson Martins
Por Claylson Martins

Um pesquisador de segurança encontrou uma vulnerabilidade severa de escalonamento de privilégios locais através do Steam. Apesar disso, a revelação foi solenemente ignorada pela Valve. A empresa agora reconheceu o erro e mudou as regras para o programa de recompensas HackerOne. Assim, a Valve admite que foi um erro descartar um relatório de vulnerabilidade grave.

Softwares modernos como a plataforma de distribuição Steam da Valve são tão sofisticados que é impossível encontrar e consertar todas as vulnerabilidades possíveis. É por isso que programas como o HackerOne existem, para incentivar pessoas externas a encontrar e reportar problemas diretamente às empresas e serem pagos no processo.

Valve admite erro ao descartar um relatório de vulnerabilidade grave

Valve admite erro ao descartar um relatório de vulnerabilidade grave

Parece ser algo óbvio. Porém, a Valve, como grande que é, não poderia se dar ao luxo de tal deslize. Pois foi exatamente o que a Valve fez quando rejeitou e ignorou um relatório preciso de pesquisadores de segurança que revelou um problema significativo com o software.

A desculpa é um problema em si

A Valve emitiu uma declaração à ArsTechnica, explicando por que o relatório foi rejeitado. No entanto, também admitiu o erro. A razão, no final das contas, era meio ridícula. Isto porque se resumia a um humano (não algum algoritmo aleatório) descartando o relatório. Segundo ele,  porque não se encaixava nas regras do HackerOne.

Nossas regras do programa HackerOne eram destinadas apenas a excluir relatórios do Steam sendo instruídos a lançar malwares instalados anteriormente na máquina de um usuário como esse usuário local. Em vez disso, a interpretação errônea das regras também levou à exclusão de um ataque mais sério que também executou o escalonamento de privilégios locais por meio do Steam. Atualizamos nossas regras do programa HackerOne para declarar explicitamente que esses problemas estão no escopo e devem ser relatados, explicou a Valve.

As regras do programa HackerOne foram alteradas para incluir relatórios que normalmente não se enquadram em seu escopo. Quanto à vulnerabilidade original, pouco depois de o pesquisador tornar público, o cliente do Steam foi atualizado. Assim, foi implementada uma uma correção. Então, isso significa que a denúncia feita era procedente.

Share This Article
Follow:
Jornalista com pós graduações em Economia, Jornalismo Digital e Radiodifusão. Nas horas não muito vagas, professor, fotógrafo, apaixonado por rádio e natureza.