Hacker expulsado del programa de recompensas de Valve expone una segunda vulnerabilidad de día cero en Steam

Un investigador de seguridad ha publicado de forma abierta información sobre una vulnerabilidad de día cero en Steam. El hacker dijo que había tomado esta polémica decisión, que puso en peligro la seguridad de la plataforma, porque la compañía le había prohibido enviar informes de vulnerabilidades para su producto en la plataforma HackerOne.

Esta es la segunda vulnerabilidad que Vasily Kravets descubre en Steam. Es una vulnerabilidad de elevación de privilegios que Kravets describió en detalle en su sitio aunque no había sido parchada.

En respuesta, Valve dijo que parcharía las dos vulnerabilidades expuestas por Kravets y consideraría reincorporarlo a su programa de recompensas de HackerOne. “Hemos publicado actualizaciones en el canal público beta de Steam Client para solucionar estos problemas y hemos lanzado algunas de las soluciones iniciales para todos los usuarios”, dijo la compañía.

La primera vulnerabilidad de Steam publicada por Kravets fue a mediados de julio. En aquella ocasión, intentó seguir el protocolo y anunció el problema a Valve mediante su programa de recompensas antes de compartir su descubrimiento en Internet. Sin embargo, Valve no lo reconoció como una vulnerabilidad de seguridad porque sólo se podía explotar de forma local y requería de “la capacidad de descargar archivos en ubicaciones arbitrarias del filesystem del usuario”, por lo que se negó a parcharla.

Aun así, la compañía le prohibió a Kravets publicar su descubrimiento, evitando que los usuarios se enteraran de la existencia del problema. Kravets publicó la información de todos modos y denunció la existencia de la vulnerabilidad de elevación de privilegios que permitía que otras aplicaciones o programas consigan privilegios de administrador para ejecutar códigos en Steam. Al hacerlo rompió las reglas de HackerOne y fue expulsado del programa de recompensas de Valve. La situación atrajo la atención de la comunidad y Valve publicó un parche para la falla.

“En resumen, Valve y H1 decidieron quitarme del programa por haber hecho esa denuncia pública”, dijo Kravets. “Lo entiendo y no tengo objeciones. Pero todavía pienso que hice lo correcto. Antes de hacerlo, Valve no tenía intención alguna de parchar la vulnerabilidad. Una vulnerabilidad es una vulnerabilidad aunque no encaje en el modelo de seguridad”, opinó Kravets.

Valve no hizo ninguna promesa en cuanto al futuro de Kravets, pero está abierto a evaluar si lo reincorporará a su programa de recompensas. “Estamos revisando cada una de las situaciones para determinar las acciones a seguir”, afirmó.

Fuentes
Researcher publishes second Steam zero day after getting banned on Valve’s bug bounty program • ZDNet
Researcher banned from Valve’s bug bounty exposes second Steam zero-day • The Inquirer
Steam cleaned of zero-day security holes after Valve turned off by bug bounty snub outrage • The Register