Um pesquisador de segurança encontrou uma vulnerabilidade severa de escalonamento de privilégios locais através do Steam. Apesar disso, a revelação foi solenemente ignorada pela Valve. A empresa agora reconheceu o erro e mudou as regras para o programa de recompensas HackerOne. Assim, a Valve admite que foi um erro descartar um relatório de vulnerabilidade grave.
Softwares modernos como a plataforma de distribuição Steam da Valve são tão sofisticados que é impossível encontrar e consertar todas as vulnerabilidades possíveis. É por isso que programas como o HackerOne existem, para incentivar pessoas externas a encontrar e reportar problemas diretamente às empresas e serem pagos no processo.
Valve admite erro ao descartar um relatório de vulnerabilidade grave
Parece ser algo óbvio. Porém, a Valve, como grande que é, não poderia se dar ao luxo de tal deslize. Pois foi exatamente o que a Valve fez quando rejeitou e ignorou um relatório preciso de pesquisadores de segurança que revelou um problema significativo com o software.
A desculpa é um problema em si
A Valve emitiu uma declaração à ArsTechnica, explicando por que o relatório foi rejeitado. No entanto, também admitiu o erro. A razão, no final das contas, era meio ridícula. Isto porque se resumia a um humano (não algum algoritmo aleatório) descartando o relatório. Segundo ele, porque não se encaixava nas regras do HackerOne.
Nossas regras do programa HackerOne eram destinadas apenas a excluir relatórios do Steam sendo instruídos a lançar malwares instalados anteriormente na máquina de um usuário como esse usuário local. Em vez disso, a interpretação errônea das regras também levou à exclusão de um ataque mais sério que também executou o escalonamento de privilégios locais por meio do Steam. Atualizamos nossas regras do programa HackerOne para declarar explicitamente que esses problemas estão no escopo e devem ser relatados, explicou a Valve.
As regras do programa HackerOne foram alteradas para incluir relatórios que normalmente não se enquadram em seu escopo. Quanto à vulnerabilidade original, pouco depois de o pesquisador tornar público, o cliente do Steam foi atualizado. Assim, foi implementada uma uma correção. Então, isso significa que a denúncia feita era procedente.