Dwa poważne błędy i kontrowersje na Steamie

Rosjanin nie miał oczywiście zamiaru wykorzystywać znalezionych bugów dla własnych korzyści. Zamiast tego zgłosił sprawę w popularnym serwisie HackerOne, gdzie wiele firm internetowych z całego świata oferuje nagrody pieniężne za wykrycie błędów i opublikowanie raportu na jego temat.

Kravets zgłosił więc swoje spostrzeżenia, licząc na ich rychłe naprawienie. Problem polegał na "eskalacji uprawnień". W ramach usterki tego typu użytkownicy z niecnymi intencjami mogli za pomocą wirusów czy malware uruchamiać własny kod przez Steam, z uprawnieniami administratora.

Jak można się domyślać, jest to dość groźne. Tutaj zaczynają się kontrowersje: Valve stwierdziło, że nie zamierza naprawiać błędu. Kravets chciał więc opublikować informacje o błędzie, by ostrzec użytkowników, za co został błyskawicznie zbanowany przez administratorów HackerOne.

Rosjanin skorzystał więc z innych serwisów, by nagłośnić problem. Ten trafił do specjalistycznych mediów i - jak się wydaje - skłonił Valve, by jednak załatać problem. Niemal natychmiast okazało się jednak, że łatka nie jest wystarczająca i inny ekspert bardzo szybko znalazł sposób na jej obejście.

Co interesujące, inny specjalista od bezpieczeństwa w sieci - Matt Nelson - przyznał na Twitterze, że wkrótce po Kravetsie znalazł ten sam błąd i przeszedł przez te same problemy: HackerOne odpowiedziało dopiero po pięciu dniach, a Valve zamknęło raport i odmówiło łatania błędu.

To nie koniec problemów. Kravets szukał dalej i znalazł kolejny bug umożliwiający eskalację uprawnień. Źródłem kontrowersji jest fakt, że Valve nie wydaje się uważać błędów tego typu za swój problem - ponieważ nie mogą one posłużyć do włamania na sam Steam, lecz wykorzystują aplikację jako "pośrednika" do ataków.