Valve arrancó en 2017 un programa para pagar a los "hackers éticos" que descubrieran y reportaran fallos de seguridad en Steam a través de la web HackerOne. Uno de esos piratas informáticos fue expulsado del programa tras reportar un error, y tras hacer publico otro fallo más, Valve ha admitido el error, solucionado ambos errores, y ampliado el tipo de fallos que se contemplan en dicho programa.
Vasily Kravet es un investigador que avisó de una vulnerabilidad en Steam a Valve, según cuentan desde ArsTechnica. La compañía de Gabe Newell dijo que dicho error se salía de los límites del programa de HackerOne, y desde la empresa le dijeron que no recibirían más avisos suyos. La semana pasada, Kravets hizo público un segundo fallo de seguridad.
Esto ha llevado a la compañía ha admitir el error de no haber prestado atención a esos fallos. Un representante de Valve explicaba al mencionado medio que son "conscientes de que el investigador que descubrió los errores fue apartado incorrectamente a través de nuestro programa de caza de bugs HackerOne, donde su aviso fue clasificado como fuera de los límites. Eso fue un error".
"Las reglas de nuestro programa HackerOne estaban diseñadas para excluir solo avisos de cuando Steam es modificado para ejecutar malware previamente instalado en el sistema del usuario como un usuario local. Sin embargo, una mala interpretación de las reglas ha llevado a la exclusión de ataques más serios que también se basaban en el aumento de los privilegios [de usuario] locales a través de Steam".
Valve ha pagado más de 675.000 dólares a hackers
Desde Valve aseguran que ambos errores han sido subsanados: "Hemos actualizado las reglas del programa HackerOne para decir explícitamente que estos errores están dentro del alcance y deben ser reportados". Asimismo, apuntan que están contemplando la vuelta de Kravet al programa, pues están "analizando los detalles de cada situación para determinar las acciones apropiadas".
A través de HackerOne, Valve paga a estos "cazadores de recompensas" de bugs. Desde que se lanzó hace dos años, se ha pagado más de 675.000 dólares a 263 investigadores de seguridad o hackers.