Исследователя, нашедшего две уязвимости в клиенте Steam, разбанили и выплатили вознаграждение

В общей сложности исследователь получил $5000.

Исследователь безопасности Василий Кравец, обнаруживший два эксплойта в клиенте Steam, разбанили на сервисе HackerOne, где Valve принимает сообщения об уязвимостях. Кроме того, Кравецу выплатили вознаграждение за обе находки.

О разблокировке и выплате награды рассказал сам Василий. Судя по странице Valve на HackerOne, исследователю было выплачено $5000: Кравец использует ник xi-tauw.

Первоначально Valve отказывалась считать уязвимостями эксплойты, о которых сообщал исследователь. После публичного раскрытия первой уязвимости Кравец был заблокирован в разделе компании на HackerOne, а Valve выпустила патч, устраняющий ошибку. Затем исследовать нашел еще одну похожую уязвимость.

После общественной кампании в поддержку Кравеца представители Valve признали свою ошибку. Сотрудники компании заявили, что ошибка произошла из-за неверной трактовки правил приема уязвимостей; вскоре они были изменены.

Вскоре после разблокировки аккаунта исследователя клиент Steam получил патч, исправляющий в том числе уязвимости, о которых сообщал Василий. Они позволяли выполнять произвольный код от имени администратора.