看板 C_Chat作者 Malpais (Malpais)標題 [情報] Steam 再次被曝零日安全漏洞時間 Fri Aug 23 07:38:34 2019
前情提要:
俄羅斯白帽駭客 Vasily Kravets 發現了這波第一起的 steam client 安全漏洞
提交漏洞細節給 steam 合作的回報懸賞平台 hackerone
但 steam 以該漏洞不易被駭客利用 不合懸賞條件為由拒絕給獎金
但又要他封口不准公開
Kravets 等了 45 天拿不到錢 且就算不給錢 steam 也不願意逕自補上漏洞後
本月初直接公開該漏洞 消息傳出後steam 才趕緊更新補洞
但後來被其他資安專家發現該漏洞並沒有完全被修復
----------------------------------------------
Kravets 經上次內部回報無果 月初選擇公開第一起漏洞後
他被 Steam 合作的安全漏洞懸賞平台 ban 了 不再給他從內部提交新case
hackerone 官方 EMAIL 直接告知他說 Valve 已選擇忽略他未來傳的內部漏洞回報
https://i.imgur.com/GSli1Sz.png
可是可是 後來 Kravets 又發現 steam 第二個相關漏洞
(和第一起漏洞成因和影響皆相似 但不須用到 symbolic links)
因為上次獎金被拒絕 而且他又被 Steam/HackerOne 內部回報平台 ban 了
所以前天 Kravets 決定直接對外公開漏洞 引發外界一片譁然
https://twitter.com/PsiDragon/status/1163816024614944771
Steam 對 Kravets 的處理態度激怒了不少善意的白帽駭客
Valve 看風向不對 今天趕緊發聲明道歉認錯
說他們從第一起漏洞回報就不應該這樣對待 Kravets 也會調查清楚他為什麼被 ban
並且說會修改懸賞獎金發放條件 新規則將包括此類的安全漏洞
但 Valve 的聲明大部分還是把責任推給 hackerone
來源:
https://bit.ly/2L2AMyz
https://bit.ly/33Uk8Kc
---------------------------
我不是 E 粉但 Valve 這樣做真的不對
--
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 202.182.125.159 (日本)
※ 文章代碼(AID): #1TNoU1mt (C_Chat)
※ 文章網址: https://www.ptt.cc/bbs/C_Chat/M.1566517121.A.C37.html
※ Malpais:轉錄至看板 Steam 08/23 07:38
推 sumarai: 不爽去用中資Epic啊1F 08/23 07:41
推 SHCAFE: 不解決問題 去解決提出問題的人 steam真棒3F 08/23 07:42
推 amsmsk: 還ban人家 怪人家搞你?10F 08/23 07:47
推 syldsk: 過太爽了啊11F 08/23 07:48
推 ar0sdtmi: 請自行代入腳踏車卡樹枝迷因圖13F 08/23 07:49
推 wizardfizban: Steam很多事都慢半拍 一般公司都不會想去惹白帽吧被搞自找的14F 08/23 07:50
推 amsmsk: 給我感覺就是你公布影響我商譽 我要處罰你的感覺 對自己資安很有信心?16F 08/23 07:52
→ wizardfizban: 結果事情鬧大後 Steam把人家給ban了...XD
阿...沒在規則內沒啥..你ban人家做什麼?
嗯 那bug的後續20F 08/23 07:53
推 SHCAFE: 對 就是那個要直接用對方電腦觸發的BUG23F 08/23 07:54
推 otis1713: 那個漏洞不是要別人碰到你的電腦才能有效嗎?24F 08/23 07:55
推 guezt: 這種態度真的是過太爽 改用gog吧25F 08/23 07:55
→ Malpais: 只要電腦裡面有安裝到原本沒權限的木馬程式就夠了27F 08/23 07:56
推 amsmsk: 我是指ban人啊 有夠白痴的28F 08/23 07:56
推 sawaman: 省小錢花大錢...這邏輯=.=484太小看駭客了R30F 08/23 07:56
→ wizardfizban: 因為你ban了對方 他就能合理直接公開bug
而不用等大家說好的改善時間呀35F 08/23 08:00
推 sumarai: 不用物理觸碰,上次好像有另一篇實測過了37F 08/23 08:00
→ DON3000: ban掉根本解決不了問題 嘿嘿38F 08/23 08:00
→ lomorobin: 他依照正常程序你不理 公開後又急著ban他 極權國家?40F 08/23 08:01
→ lucifiel1618: 比起態度問題還是多重視它實質造成的資安風險吧,把問題放在態度上也太避重就輕43F 08/23 08:03
推 amsmsk: 可是我看文章比較像是他公開後ban吧45F 08/23 08:04
推 Giornno: 可是漏洞也沒修好,駭客除了用公開來反制,還有其它手段嗎48F 08/23 08:06
推 SHCAFE: 順序是 提交第一個BUG無果>公開BUG被ban>因為被ban直接公開第二個BUG50F 08/23 08:06
→ Sischill: 主要是被BAN後也沒修呀 公開才開始急著修wwwww52F 08/23 08:07
推 amsmsk: 我跟瘋法講的是不同時段XDD 基本上就是樓上那樣子53F 08/23 08:07
→ Sischill: 看起來就是本來就不想修 所以自以為處理掉白帽駭客比較快54F 08/23 08:07
→ Malpais: 獎金不一定要發 但別人跟你講了漏洞還不修就錯了56F 08/23 08:08
推 kenyun: 就規則多打一條補丁 這種搞自己電腦的BUG 給個1$不過份吧57F 08/23 08:09
推 Giornno: 一般人不懂啦,可能在steam眼裡真的不是大漏洞,但被發現了就要修吧58F 08/23 08:09
→ Malpais: 這類漏洞可以給已入侵卻還沒權限的木馬提權 不用實體碰觸60F 08/23 08:09
推 SHCAFE: 因為這BUG不會直接影響到steam營收啊 就想裝死等風頭過去61F 08/23 08:10
推 sumarai: 商店能賣遊戲就好,玩家資安自己處理63F 08/23 08:11
→ wizardfizban: 帳號和木馬 才能作用 所以steam覺得不算嚴重
也沒在獎金規則內 但他後來ban人真的太誇張66F 08/23 08:12
→ Malpais: Kravets 自己之前也有說他知道這個漏洞不容易被利用 但對70F 08/23 08:13
→ Malpais: 方的處理態度還是讓他很不爽72F 08/23 08:14
→ Nravir: 87敢惹白駭客,還是發現漏洞的73F 08/23 08:14
推 sumarai: V社推給合作網站了,說網站誤解他們意思74F 08/23 08:15
→ Malpais: 我猜如果一開始就給個小錢幾百鎂打發就沒事了XDDD75F 08/23 08:15
※ 編輯: Malpais (202.182.125.159 日本), 08/23/2019 08:16:48
→ Nravir: 把發現漏洞的人解決掉,不就沒有漏洞了ㄇ= =76F 08/23 08:16
→ spfy: 最近過太爽 Steam以為所有人都跟_PIC一樣好對付77F 08/23 08:16
推 cornsoup: 為了名譽 而去解決善良的人 幹得好官方 有夠8778F 08/23 08:17
推 yulbin98: 說實話,這感覺很不steam79F 08/23 08:18
推 brianhsu: 不在規則內不發獎金沒問題,但直接把人 ban 掉不許回報就太扯了。80F 08/23 08:20
→ wizardfizban: 不..這是Valve風格沒錯 反應時不時慢半拍
你把某神器拿來比對就知道了83F 08/23 08:20
→ SHCAFE: 神器現在還有多少玩家啊 湊一湊能不能玩大逃殺85F 08/23 08:22
→ Sischill: G胖應該只管重要決策吧 組織一大了難免都會有蟑螂的88F 08/23 08:25
推 egg781: 所以就欠電阿90F 08/23 08:25
推 rp20031219: 蠻好笑的 把對方BAN掉讓他直接能公開漏洞91F 08/23 08:26
噓 z83420123: 幹想到G胖就氣 今年TI也有去 CSGO沒到過
然後以前Major 3次近年縮到2次 獎金成長也極少94F 08/23 08:26
推 wiydluck: 有人要幫你Q產品 還要BAN人家 有病484R96F 08/23 08:27
→ z83420123: CSGO之前eleague單一頻道破百萬還是紀錄 結果整個被放生 QQ97F 08/23 08:28
→ peterturtle: 但是V社能直接接觸到白帽嗎?我怎麼看兩起事件好像都是只通過網站聯絡的?整個反應不怎麼符合常理欸99F 08/23 08:32
→ peterturtle: 畢竟剛剛才被公布問題還「忽略白帽問題」這件事情未免也太詭異,應該說正常人不會這麼幹
上次的裝死擱置沒做額外聯絡也有點不太正常103F 08/23 08:34
推 SHCAFE: 不能用自己的思維去揣測別人,就像我們認為正常人是不會隨地大小便的,但...106F 08/23 08:36
推 a125g: EPIC什麼時候出來譴責108F 08/23 08:37
→ peterturtle: 就是我懷疑是情報交換中間可能有問題,才導致事件惡化,所以不想那麼早下定論的意思。用腳趾想也知道這種「鎖白帽」會讓情況惡化,所以這麼幹很奇怪啊109F 08/23 08:38
推 Sischill: 不, VALVE裝死次數其實還蠻多的吧?
我都懷疑steam只有客服退款是正常人了112F 08/23 08:39
推 Giornno: 可能決策部門在開威士忌趴踢114F 08/23 08:40
→ Malpais: hackerone 只是中介而已 他們的email有寫是 Team Valve 決定要ban 的116F 08/23 08:41
推 spfy: EGS動態:寫新聞稿119F 08/23 08:43
→ peterturtle: 呃,我就是在等看看網站會不會公布那個Valve寫給網站要ban的E-mail121F 08/23 08:43
推 vincentwg: 阿沒在規則內你ban人家幹嘛 誰知道白帽一個不爽轉黑帽126F 08/23 09:00
推 ks007: 是也不用ban他吧?129F 08/23 09:08
推 g3sg1: V社不會這樣反應詭異就不是V社了 想想2之後的數字130F 08/23 09:12
推 CrushQQ: 過太爽,惹得到不該惹的一群人135F 08/23 09:22
推 oiolo: 這真的是自找麻煩欸 steam136F 08/23 09:22
推 gametv: 真的很誇張耶143F 08/23 09:32
推 demon159000: 不愧是有錢胖子且很廢,白癡處理方式
馬的steam這麼有錢還吝嗇是想吃屎嗎?144F 08/23 09:43
→ Malpais: 可能200鎂都不用呢150F 08/23 09:49
推 gn50711: .........那懸賞金額出乎意料的低 v社你搞毛啊153F 08/23 10:00
推 PPTmilktea: 不說我還以為是在台灣發生的事情呢 原來是STEAM啊154F 08/23 10:01
推 vsepr55: 那個金額所以其實找漏洞都是找興趣的喔156F 08/23 10:01
推 jympin: 不然你要用EPIC?157F 08/23 10:02
推 skuderic: 這次steam作法真是粗糙到不行 都大公司了 還是有想便宜行事的作風 真的不行159F 08/23 10:20
推 toulio81: 要碰到電腦才有效是Steam單方面說的啊!162F 08/23 10:28
推 Zoro80298: 解決發現問題的人 我還以為是中資163F 08/23 10:30
推 kaj1983: 錢多又摳門,不e外164F 08/23 10:32
推 Shiki2014: 笑死 幫你抓到漏洞還吃ban 比epic還爛欸XDD165F 08/23 10:36
推 loverxa: 沒給錢還要被ban 呵166F 08/23 10:37
推 max90283: valve一貫的風格 裝死冷處理 玩他們家的遊戲動不動就被放生167F 08/23 10:43
推 s12358972: Steam肯定知道可以用其他方法利用這個漏洞
但是他們覺得一般人做不到才會說要碰到電腦172F 08/23 10:52
推 b852258: 才幾佰鎂也不給,都這麼大間公司了...174F 08/23 10:54
→ kaj1983: 重點是ban掉對方吧,這做法很阿共
有異音就把人bang不見175F 08/23 10:57
推 Peruheru: 請問我可以轉錄文章到資安版嗎?177F 08/23 11:06
推 guogu: 沒在規則內即使不給錢也不該去BAN回報者啦178F 08/23 11:08
→ guogu: steam把問題丟給了中介網站 看看中介網站有沒有要回什麼囉180F 08/23 11:11
→ kaj1983: 還有人護航這是valve風格,蒸粉齁...181F 08/23 11:12
→ andy78328: 我看漏了啥嗎 這串明明一面倒認為valve錯了 哪有人護航182F 08/23 11:18
推 zxcasd328: 裝死第一名 看看那個神器就知道了185F 08/23 11:26
推 CowBaoGan: 解決不了問題就解決提出問題的人 很好 這很中資w186F 08/23 11:37
推 kaj1983: 蒸粉平常獵E有少過嗎?也換E粉開心一下嘛XDD188F 08/23 11:39
推 a204a218: 哪有什麼不像steam的,steam耍腦的次數也沒少過吧189F 08/23 11:42
推 s2327259: 負責這件事的人員要降職吧 完全不合理的處置方式192F 08/23 11:51
→ zeroyang: 公開了還不修 根本有病…193F 08/23 11:55
→ guogu: 公開後修了 是通報的時候沒修
這次的是類似但是不同做法的194F 08/23 12:03
推 eu5566: v社日常196F 08/23 12:07
推 ryuter: 解決提出問題的人.可以.跟我大台灣帝國領導人很像197F 08/23 12:33
推 hms5232: 這次是Steam活該 人家幫你找漏洞不給獎金就算了還ban人198F 08/23 12:36
推 awsq00000: 真的過太爽 收手續費就吃飽的公司 還會這樣子雞蛋條骨頭?199F 08/23 12:41
推 qscgg: steam 過太爽 活該被教訓204F 08/23 13:21
推 yaiwuyi: 拍安全漏洞,所以我都用steam,咦205F 08/23 13:22
推 tyifgee: Steam這次處理事情的態度真的有問題206F 08/23 13:26
推 ilohoo: 如果這問題嚴重到要封口要ban人,那就有提供獎金和修復的價值。反過來如果是沒這個價值,那並不需要封口啊。207F 08/23 13:37
推 hayate65536: 那個漏洞真的有跟沒有一樣爛到笑,不過省這個錢不太好吧209F 08/23 13:39
→ Malpais: 說這漏洞爛的誤會可大了 它不能從0-100但跟其他未知漏洞合併用的話就會有殺傷力 說不定這漏洞占的10%就是最後一塊拼圖 說這漏洞沒用就像是說因為小偷沒有你家大門鑰匙所以被小偷知道你家保險箱密碼也沒關係一樣
只要使用者自己先開門讓木馬進來了 原本沒有權限的木馬就能因為steam取得管理員權限211F 08/23 13:52
推 CTUST: 中共高層喔?不爽就ban你 錢還是不給217F 08/23 14:14
推 tw15: 這公司操作48487R219F 08/23 14:37
推 LonyIce: Steam是用什麼理由ban他 還是沒講理由就直接ban啊220F 08/23 14:52
推 joygo: 獨佔後果然還是唉唉唉
更正獨大後221F 08/23 15:08
推 cmcmcmcm2: VALVE這做法真的好笑 有夠笨XD225F 08/23 17:56
推 axakira: 敬酒不吃吃罰酒,欠修理226F 08/23 18:24
推 gp99000: 有沒有搞錯啊,這個人沒有基本禮節,被搞活該227F 08/23 19:54
--