Steam descart� err�neamente un reporte de un fallo de seguridad en la plataforma

Valve admite que hizo caso omiso al aviso de un fallo de seguridad realizado por un investigador; Valve ha solucionado ambos errores.

Comparte en Facebook

Comparte en Twitter

Comparte en Whatsapp

Fran G. Matas · 12:45 26/8/2019

Valve arranc� en 2017 un programa para pagar a los "hackers �ticos" que descubrieran y reportaran fallos de seguridad en Steam a trav�s de la web HackerOne. Uno de esos piratas inform�ticos fue expulsado del programa tras reportar un error, y tras hacer publico otro fallo m�s, Valve ha admitido el error, solucionado ambos errores, y ampliado el tipo de fallos que se contemplan en dicho programa.

Vasily Kravet es un investigador que avis� de una vulnerabilidad en Steam a Valve, seg�n cuentan desde ArsTechnica. La compa��a de Gabe Newell dijo que dicho error se sal�a de los l�mites del programa de HackerOne, y desde la empresa le dijeron que no recibir�an m�s avisos suyos. La semana pasada, Kravets hizo p�blico un segundo fallo de seguridad.

Esto ha llevado a la compa��a ha admitir el error de no haber prestado atenci�n a esos fallos. Un representante de Valve explicaba al mencionado medio que son "conscientes de que el investigador que descubri� los errores fue apartado incorrectamente a trav�s de nuestro programa de caza de bugs HackerOne, donde su aviso fue clasificado como fuera de los l�mites. Eso fue un error".

"Las reglas de nuestro programa HackerOne estaban dise�adas para excluir solo avisos de cuando Steam es modificado para ejecutar malware previamente instalado en el sistema del usuario como un usuario local. Sin embargo, una mala interpretaci�n de las reglas ha llevado a la exclusi�n de ataques m�s serios que tambi�n se basaban en el aumento de los privilegios [de usuario] locales a trav�s de Steam".

Valve ha pagado m�s de 675.000 d�lares a hackers

Desde Valve aseguran que ambos errores han sido subsanados: "Hemos actualizado las reglas del programa HackerOne para decir expl�citamente que estos errores est�n dentro del alcance y deben ser reportados". Asimismo, apuntan que est�n contemplando la vuelta de Kravet al programa, pues est�n "analizando los detalles de cada situaci�n para determinar las acciones apropiadas".

A trav�s de HackerOne, Valve paga a estos "cazadores de recompensas" de bugs. Desde que se lanz� hace dos a�os, se ha pagado m�s de 675.000 d�lares a 263 investigadores de seguridad o hackers.