Hacker ruso avisa a Valve sobre fallos de seguridad en Steam. A Valve se la pela y lo banean

Long story short:

  1. Investigador de seguridad ruso descubre una vulnerabilidad de seguridad en el cliente de Steam para Windows por la que programas externos pueden usar los permisos de administrador de Steam para ejecutar lo que les de la gana como administradores.
  2. Avisa a Valve para que lo arreglen.
  3. Valve dice que pasa del tema y que no va a arreglarlo.
  4. Investigador publica la información para alertar a los usuarios.
  5. Valve saca un parche de seguridad a destiempo para arreglar el problema.
  6. Poco después se demuestra que el parche puede saltarse fácilmente y seguir explorando la vulnerabilidad.
  7. Investigador ruso descubre otro fallo de seguridad.
  8. Intenta alertar a Valve pero lo banean de la plataforma.
  9. Investigador ruso, por lo tanto, pública directamente, sin avisar (no puede) el segundo problema de seguridad en dos semanas.
2 Me gusta

:comedoritos:

1 me gusta

Esto con Epic no pasa.

5 Me gusta

Encima que avisa, le hacen esto. Son unos desagradecidos.

10 Me gusta
Hasta cierto punto entiendo que no permitan que se publiquen bugs en foros públicos (Blizzard ya baneó a Disguised Toast por lo mismo) pero una cosa es eso y otra cosa es no arreglar bugs y banear al usuario después por tu propio pasotismo. Manda huevos.

:kirbysisi:

3 Me gusta

Epic

Lo de las oficinas de Valve pareciendo un patio de colegio se tiene que acabar YA

Y lo peor, no es la primera vez que pasa. No respetan ni a un dev intentando ayudar

1 me gusta

En Valve están muy ocupados haciendo Half Life 3 para ocuparse de chorradas como su tienda.

11 Me gusta

Half life 3: For never

Lo de que Valve sude de él está muy mal y la verdad es que de ser cierto, flipo; pero si el tío hace pública esta vulnerabilidad, no me extraña que lo baneen. Igual el tío pensó que avisando de esa manera alertaría a los usuarios y presionaría a Valve para actuar, pero con ello lo que también ha hecho es alertar a aquellos que quieran aprovecharse de la vulnerabilidad de dónde está esa puerta trasera y hacia dónde dirigir sus ataques.

1 me gusta

Publicar las vulnerabilidades cuando la empresa no hace ni puto caso, es una práctica habitual en el mundo del hacking ético

De hecho, es la única forma de asegurar que la compañía que no quiere hacer nada, se dedique en cuerpo y alma a parchear el problema

2 Me gusta

Como he dicho, entiendo que es una práctica para presionar, pero consecuentemente también deja la puerta abierta a aquellos que quieran aprovechar vulnerabilidades de este tipo, y más en un software con cientos de millones de usuarios. Es un arma de doble filo.

La culpa y responsabilidad sigue siendo de Valve. No entiendo por qué tienen ese pasotismo encima con algo que puede vulnerar su software y reportarles futuros desastres.

Igualmente, lo publiques o no, si la vulnerabilidad existe, puede ser conocida por los criminales. Y esos no te van a decir nada

El único camino adelante es asegurar que se parchea para que desaparezca, aunque haya que pagar un precio de inseguridad temporal. Es menos grave publicar esa información, a que la vulnerabilidad quede en la lista de cosas que hacer de Valve durante meses. De hecho, los ataques a los sistemas informáticos no se planean de un día para otro. Suelen llevar meses, y asegurando que se parchea rápido, anulas el ataque aunque la información de cómo hacerlo sea pública

1 me gusta

Pero es Valve, hostia. Valve y Steam. Sh! La culpa es del tío. O mía, con algún comentario que trate de darle la vuelta al asunto para que nos olvidemos del hecho a tratar, que es la incompetencia de Steam tanton em ésta como en otras áreas desatendidas, empezando por los problemas de la interfaz.

Grande Valve.

por cosas como estas epic esta ganando adeptos

Yo pensaba que era por el Fornite y regalar juegos

Así empezó Hacker Meri.

El modus operandi en seguridad informática es avisar personalmente del error al afectado, proporcionarle los datos para replicar y tal. Si no “te permiten el contacto” con la empresa, pues…

Es que manda huevos que haya empresas que paguen miles de $ por encontrar bugs, y otras parece que hasta les moleste que sus aplicaciones no sean perfectas

Andan ocupados haciendo que los juegos que venden funcionen :sese:

3 Me gusta

Si el hombre les avisa y se lo dice, pero le banean… Pues menuda mierda de reacción por parte de valve xD