ValveがSteamのゼロデイ脆弱性報告を無視したのは「間違いだった」と全面的に認める

ゲーム販売プラットフォーム「Steam」のWindows版でゼロデイ脆弱性が報告されていたにも関わらず、運営会社のValveがこの報告を無視した上に、脆弱性を発見したホワイトハッカーをSteamのバグ報奨金プログラムから排斥した件について、Valveは「間違いだった」と認め、バグ報奨金プログラムのポリシー変更を発表しました。

Valve says turning away researcher reporting Steam vulnerability was a mistake | Ars Technica
https://arstechnica.com/information-technology/2019/08/valve-says-turning-away-researcher-reporting-steam-vulnerability-was-a-mistake/

Steam Patches LPE Vulnerabilities in Beta Version Update
https://www.bleepingcomputer.com/news/security/steam-patches-lpe-vulnerabilities-in-beta-version-update/

ホワイトハッカーのVasily Kravetsさんは「管理者権限を無断で取得できる」というWindows版Steamのゼロデイ脆弱性を、発見された脆弱性に応じて企業が報奨金を支払う「バグバウンティ」サービスを運営するHackerOneに報告しました。ところが、ValveはKravetsさんの報告を無視。さらにKravetsさんをValveのバグ報奨金プログラムからBANして追放し、すべての問題にノーコメントを貫きました。

一連の問題は以下の記事で詳しく解説されています。

9600万人以上に影響を与えうるWindows版Steamのゼロデイ脆弱性をホワイトハッカーが一般公開した理由とは？ - GIGAZINE

しかし、Valveは2019年8月22日付けで、Kravetsさんが報告した管理者権限の取得に関する脆弱性を一転して認めました。また、Valveはこの脆弱性を対象外としていたバグ報奨金プログラムポリシーを変更。同時にWindows版Steamの修正アップデートを行う予定だと発表しました。ValveのマーケティングディレクターのDoug Lombardi氏は、KravetsさんをValveのバグ報奨金プログラムから追放した件に関して「間違いでした(This was a mistake)」と述べています。

by tinggay

改訂されたValveのHackerOneの報奨金プログラムルールでは、「管理者権限を無断で取得するユーザーアカウント制御(UAC)のダイアログを通知させないまま、Steamを介してマルウェアを実行するかソフトウェアを管理者権限で起動させるバグ」をポリシーの範囲内だとしています。

また、Valveの報奨金プログラムルールに関して、HackerOneが自社サービス上でKravetsさんが脆弱性を報告できないようにスレッドを閉鎖して脆弱性の存在自体を闇に葬ろうとしていました。この件について、「問題の報告すら禁じることはMicrosoftの国際標準化機構(ISO)で採用された問題報告に関するポリシーに完全に違反しており、影響を受けたユーザーに対して無責任で、脆弱性開示の規範が営利目的のプラットフォームによってゆがめられている」とArs Technicaが厳しく糾弾しています。

なお、KravetsさんはHackerOneのValveのバグ報奨金プログラムにおいていまだにBANされているとのこと。今回の脆弱性報告に寄与したMatt Nelsonさんは「お金が目的ではなく、脆弱性を周知させるのが目的です」とコメントしています。