Российский специалист Василий Кравец с помощью программы HackerOne сообщил о двух уязвимостях Steam. Сотрудники компании посчитали, что подобные ошибки должны быть вознаграждены. Тогда хакер выложил описание уязвимостей в открытый доступ, за что получил бан на HackerOne.

Позже об инциденте узнала Valve, признав наличие бреши в безопасности Steam. Также компания извинилась за сложившуюся ситуацию, которая была вызвана простым недопониманием.

Правила нашей программы HackerOne должны были исключить все сообщения о возможности запустить через Steam уже установленное вредоносное ПО в качестве локального пользователя.

Однако из-за неверной трактовки в число таких исключений попала куда более серьёзная атака, позволявшая провести LPE (позволяет выполнить код на PC пользователя с максимальными привилегиями) через Steam.
Мы уже обновили правила программы HackerOne, чтобы пояснить, что такие уязвимости входят в неё.

Тем не менее, Valve не сообщила, получит ли Кравец вознаграждение или все же нет. Также не ясно, снимут ли со специалиста блокировку на HackerOne, но найденные уязвимости вскоре будут устранены.