Valve assume que errou ao banir usuário que encontrou falha grave no Steam

Por Wagner Wakka | 23 de Agosto de 2019 às 17h49
Divulgação
Tudo sobre

Valve

Saiba tudo sobre Valve

Ver mais

A Valve assumiu que foi um erro banir um pesquisador que mostrou uma falha de segurança de alto risco dentro do Steam. Em comunicado, a companhia disse que a medida foi um “mal-entendido” por conta de interpretação equivocada das políticas de seu programa.

A Valve conta com um sistema “bug bounty”, ou seja, que incentiva a busca por erros dentro da plataforma. A grande maioria das companhias, como a Microsoft, ainda oferecem prêmios a pessoas que encontrem e informem bugs em seus serviços.

Contudo, parece que este não é o procedimento da Valve. Um pesquisador chamado Vasily Kravets participa do bug bounty do Steam. Ele preencheu um formulário oficial interno da companhia sobre um erro de alto risco existente desde o dia um do serviço de games da companhia.

A falha diz respeito a um privilégio de acesso local, conhecido pela sigla LPE em inglês. Em resumo, ela permitiria a um malware instalado no computador com Windows 10 do usuário acesso como administrador ao cliente do Steam. Ou seja, poderia expor dados pessoais do usuário na plataforma e tomar o controle do software.

Após a apresentação do problema, Kravets foi informado de que o problema que ele descobriu estava fora do escopo da empresa e que não seria arrumado. Junto disso, a equipe proibiu Kravets de expor a questão fora do sistema interno do Steam e baniu o pesquisador.

Foi aí que Kravets publicou a falha na internet e contou a reação da companhia sobre o que ele havia apresentado.

Apesar da forma como a Valve lidou com o rapaz, o erro foi, de fato, consertado e a companhia lançou um patch de atualização para o Steam. Contudo, poucas horas depois, um outro pesquisador encontrou um segundo LPE também no Steam e o apresentou, da mesma forma como fez Kravets. Desta vez, a companhia tomou um atitude diferente com o segundo usuário, apenas direcionado esforços para solucionar a brecha.

Após o caso, o site ZDNet entrou em contato com a companhia, a qual enviou o pedido de desculpas. Segundo a empresa, o erro inicialmente foi encarado com uma falha do usuário, não da Valve, já que só haveria problema de segurança se ele estivesse com o computador comprometido com malware.

“O mal-entendido das regras também levou à exclusão de informes sobre ataques mais sérios que poderiam usar o LPE pelo Steam. Nós atualizamos as regras de nosso programa para explicitamente garantir que estes problemas estejam dentro do escopo e que possam ser informados dentro do sistema”, disse a companhia em comunicado.

Até o momento, a empresa apenas atualizou a lista de prioridades e alegou estar testando correções para os problemas apontados por Kravets.

Fonte: ZDNet

Gostou dessa matéria?

Inscreva seu email no Canaltech para receber atualizações diárias com as últimas notícias do mundo da tecnologia.