Как стать автором
Обновить

Valve признала свою ошибку, когда хакер Василий Кравец опубликовал второй 0day для Steam

Время на прочтение 5 мин
Количество просмотров 24K
Всего голосов 42: ↑40 и ↓2 +38
Комментарии 18

Комментарии 18

Неужели они наконец словили, что через их ПО появляется бэкдор?! Наконец-то. Я ведь уже часть кода написал для эксплуатации. Хорошо, что его можно выбросить в помойку.Ну а ниже приятная пикча по этому случаю.
Со смыслом
image

Осталось только исследователя разбанить и выделить ему причитающуюся сумму.

Что-то неладно в королевстве.
Два исследователя приходят к одинаковым результатам и им не верят. Исследователи показывают как это работает и показывают общественности. И тут, ой извините мы ошиблись. Хорошо хоть не писали в ответ это не баг это фича.

Проблема в другом — для них расширение прав доступа уязвимостью не считает
Проблема в другом — для них расширение прав доступа уязвимостью не считает

Проблема еще более в другом. Уязвимостью как раз таки считает, иначе бы не наказывали исследователям банами и пытались исправить. Но видимо у компании дефицит желания исправлять, платить и, главное, открыто признавать проблемы безопасности. И я думаю что в первую очередь именно из-за соображений репутационного толка они так отреагировали. Т.к. сомневаюсь что там кому-то всерьез денег жалко, для такого монстра как Valve $700k за 2 года сумма несрьезная. Наверняка у них в штате есть разработчики с таким доходом в год.
Хорошо бы разбанить, но ведь это так удобно — признать чью-то правоту, но при этом не платить. Очень в духе.

Valve лишь признала ошибку в правилах отбора уязвимостей. Было бы интересно узнать, как так вышло, что когда в самой Valve 0-day уязвимость не признали таковой, в следующей версии клиента появились попытки исправления.
"Крановцы" могут сколько угодно сокрушаться по поводу несовершенства ими же составленных правил на HackerOne, но факт остается фактом: они узнали о проблеме, попытались её решить, при этом зачем-то пойдя на конфликт с нашедшим уязвимость.

disclaimer Я не слишком хорошо знаком с этой кухней пусть меня поправят и вообще все ниже — домыслы.

Посмотрите на историю cо Spectre — Meltdown. Да, они признали проблемы, готовили какие-то патчи и сделали все что от них зависит для исплавения(предположим что так). Но их все равно заслуженно обмазали какахами с головы до пят. И теперь в каждом обсуждении, на каждой площадке отзывов можно найти intel=Meltdown.
Ведь как я понимаю репорт скрыт от посторонних только какое-то время, затем исследователи пишут статьи и отчеты на профильных ресрсах. А если сделать вид что суслика нет, то есть шанс все закрыть по-тихому в надежде что исследователь не будет нарываться, что Valve вероятно и пыталась провернуть, хотя уязвимость и не такая гремучая.
А если компания платит значит признает свою оплошность и ответственность, а через полгода всем расскажут как давно steam был страшным образом уязвим. Если не повезт, история раздуется, то только ленивый не пнет валву на страницах интернетиков. А тут еще epic со своей площадкой.
Мельдаун все таки уязвимость огромных масштабов. Здесь речь о не такой серьезной уязвимости, которая бы однозначно осталась за кадром, если бы валв сделала все как надо. Ведь эта уязвимость получила известность совсем не из-за своей серьезности, люди далеки от этого. Они видят другое — валве репортят уязвимость, а они игнорят и банят человека. Вот за это они и получили известность. А могло бы все закончиться намного лучше — репорт, выплата денег, выпуск фикса. Все. Ни один новостной сайт бы и слова не сказал об этом, потому что из этого не сделать новость — ну была проблема, ее уже исправили. Это никому не интересно, проблемы с безопасностью есть у всех. Это и видно — программа выплат существует не первый день у валв, но это первая проблема, которая дошла до широкой публики.
НЛО прилетело и опубликовало эту надпись здесь
Пруфы можно? Потом что по бенчмаркам заплатки просадили как раз таки топовые ssd.
Чтобы компании как Valve не наглели и знали свое место, необходимо в профилактических целях публиковать 0-day уязвимости без предупреждения. Тогда они не станут отказывать специалистам, которые за копейки тратят свое драгоценное время.
Тот момент, когда Steam показывает, что продать на сторону баг выгоднее, чем сообщать им.

посмотрим на сумму компенсации исследователю. На месте Вальве надо не только накинуть за исследование 2й раз, но и за моральный ущерб так сказать.

скорее не за моральный ущерб, а за сохранение своей репутации

Это всё хорошо, но осталось дождаться чтобы они наконец-то закрыли эту дыру и выплатили нашедшим причитающееся.

Какой же абсурд.

Ждем следующую новость «Valve пошла навстречу исследователю и в качестве жеста доброй воли соизволила разбанить исследователя в H1. Чтобы он имел возможность в будущем слать отчеты. Конечно же, без выплаты вознаграждения, ведь вам всем показалось в продуктах Valve багов нет».

Надеюсь, больше не один вайтхет не будет им слать баги в H1, а будут сразу же сливать блекхетам. С целью профилактики и перевоспитания. Чтобы ценили, что люди за копейки на фоне возможных потерь, спасают им репутацию.

Сегодня утром Steam пропатчился и в списке изменений есть исправления, судя по всему, как раз этого.


https://store.steampowered.com/news/53677/

Да. Я обновил статью.
Зарегистрируйтесь на Хабре , чтобы оставить комментарий

Другие новости

Истории