バグハンターがゲームプラットフォームSteamの2つの欠陥の詳細を明らかにした。親会社Valveは報奨金の支払いを拒否し、彼を激怒させた（Register経由）。

バグ報奨金は支払われない

ヴァシリー・クラベッツ氏は今月初め、権限昇格エラーの詳細を明らかにしました。「本来はコンピューター上でサードパーティ製プログラムを実行するために設計されたランチャーが、サードパーティ製プログラムに密かに最大限の権限を付与させてしまうというのは、皮肉なことです」とクラベッツ氏は指摘しました。

しかし、クラベッツ氏によると、6月16日に自身のレポートが「該当なし」とマークされたのは、「ユーザーのファイルシステム上の任意の場所にファイルをドロップする能力を必要とする攻撃」という理由からだ。クラベッツ氏は、HackerOneからも同様の回答を受けたと述べた。

彼は次のように説明した。

たくさんのフィードバックをいただきました。しかし、Valveは一言も発しませんでした。HackerOneは長文の手紙を送りつけましたが、その後はほぼ沈黙を守っていました。最終的にValveとの関係は悪化し、HackerOneでBANされてしまいました。

イライラした彼はその欠陥を公表した。

2つ目の蒸気欠陥が発覚

火曜日、彼はSteamで2件目の権限昇格の脆弱性を公表した。この時点でValveは彼をバグ報奨金プログラムから除外していた。「Valveは失敗し続けている」と彼は不満を漏らした。

Vale社は本稿執筆時点では公式コメントを発表していません。どちらの脆弱性も、攻撃者が標的のマシンにアクセスできることを必要とします。したがって、どちらも重大なものとはみなされません。