[情報] Steam 再次被曝零日安全漏洞

看板 C_Chat
作者
時間
留言 228則留言,121人參與討論
推噓 127  ( 131推 4噓 93→ )
前情提要: 俄羅斯白帽駭客 Vasily Kravets 發現了這波第一起的 steam client 安全漏洞 提交漏洞細節給 steam 合作的回報懸賞平台 hackerone 但 steam 以該漏洞不易被駭客利用 不合懸賞條件為由拒絕給獎金 但又要他封口不准公開 Kravets 等了 45 天拿不到錢 且就算不給錢 steam 也不願意逕自補上漏洞後 本月初直接公開該漏洞 消息傳出後steam 才趕緊更新補洞 但後來被其他資安專家發現該漏洞並沒有完全被修復 ---------------------------------------------- Kravets 經上次內部回報無果 月初選擇公開第一起漏洞後 他被 Steam 合作的安全漏洞懸賞平台 ban 了 不再給他從內部提交新case hackerone 官方 EMAIL 直接告知他說 Valve 已選擇忽略他未來傳的內部漏洞回報 https://i.imgur.com/GSli1Sz.png
可是可是 後來 Kravets 又發現 steam 第二個相關漏洞 (和第一起漏洞成因和影響皆相似 但不須用到 symbolic links) 因為上次獎金被拒絕 而且他又被 Steam/HackerOne 內部回報平台 ban 了 所以前天 Kravets 決定直接對外公開漏洞 引發外界一片譁然 https://twitter.com/PsiDragon/status/1163816024614944771 Steam 對 Kravets 的處理態度激怒了不少善意的白帽駭客 Valve 看風向不對 今天趕緊發聲明道歉認錯 說他們從第一起漏洞回報就不應該這樣對待 Kravets 也會調查清楚他為什麼被 ban 並且說會修改懸賞獎金發放條件 新規則將包括此類的安全漏洞 但 Valve 的聲明大部分還是把責任推給 hackerone 來源: https://bit.ly/2L2AMyz https://bit.ly/33Uk8Kc --------------------------- 我不是 E 粉但 Valve 這樣做真的不對 -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 202.182.125.159 (日本) ※ 文章網址: https://www.ptt.cc/bbs/C_Chat/M.1566517121.A.C37.html Malpais:轉錄至看板 Steam 08/23 07:38
1Fsumarai: 不爽去用中資Epic啊 08/23 07:41
2Fz83420123: 有等45天還被ban難怪會森77 08/23 07:42
3FSHCAFE: 不解決問題 去解決提出問題的人 steam真棒 08/23 07:42
4Ftony81456200: 還是用Epic好了 08/23 07:43
5Fethan0419: steam是這種公司哦... 08/23 07:43
6FCornyDragon: 省小錢花大錢 厲害了 08/23 07:44
7Fwizardfizban: 就惹到白帽們被搞呀 08/23 07:45
8FGiornno: 這是什麼操作? 08/23 07:47
9FDON3000: 哈哈哈哈 08/23 07:47
10Famsmsk: 還ban人家 怪人家搞你? 08/23 07:47
11Fsyldsk: 過太爽了啊 08/23 07:48
12Fcolapola: 哈哈 過太爽了唷? 08/23 07:49
13Far0sdtmi: 請自行代入腳踏車卡樹枝迷因圖 08/23 07:49
14Fwizardfizban: Steam很多事都慢半拍 一般公司都不會想去惹白帽吧 08/23 07:50
15Fwizardfizban: 被搞自找的 08/23 07:50
16Famsmsk: 給我感覺就是你公布影響我商譽 我要處罰你的感覺 對自己 08/23 07:52
17Famsmsk: 資安很有信心? 08/23 07:52
18Fwizardfizban: 不是 是本來的獎金規則中不包這類BUG 所以沒給錢 08/23 07:53
19Fhorseorange: 這是上次那個要碰到電腦才行的漏洞嗎 08/23 07:53
20Fwizardfizban: 結果事情鬧大後 Steam把人家給ban了...XD 08/23 07:53
21Fwizardfizban: 阿...沒在規則內沒啥..你ban人家做什麼? 08/23 07:54
22Fwizardfizban: 嗯 那bug的後續 08/23 07:54
23FSHCAFE: 對 就是那個要直接用對方電腦觸發的BUG 08/23 07:54
24Fotis1713: 那個漏洞不是要別人碰到你的電腦才能有效嗎? 08/23 07:55
25Fguezt: 這種態度真的是過太爽 改用gog吧 08/23 07:55
26Fwizardfizban: 不管怎樣 那還是bug呀 XD 08/23 07:55
27FMalpais: 只要電腦裡面有安裝到原本沒權限的木馬程式就夠了 08/23 07:56
28Famsmsk: 我是指ban人啊 有夠白痴的 08/23 07:56
29FMalpais: 不用實體碰觸 08/23 07:56
30Fsawaman: 省小錢花大錢...這邏輯=.=484太小看駭客了R 08/23 07:56
31Fiam0718: 解決提出問題的人 08/23 07:57
32Fabelyi100: 活該被罵啊Steam 08/23 07:59
33Fwizardfizban: 這其實沒解決提出問題的人 而是單純做蠢事 08/23 07:59
34Fdieangel006: EPIC歡迎你 08/23 07:59
35Fwizardfizban: 因為你ban了對方 他就能合理直接公開bug 08/23 08:00
36Fwizardfizban: 而不用等大家說好的改善時間呀 08/23 08:00
37Fsumarai: 不用物理觸碰,上次好像有另一篇實測過了 08/23 08:00
38FDON3000: ban掉根本解決不了問題 嘿嘿 08/23 08:00
39Fwizardfizban: 你要換平台也換去GOG之類的...換去Epic做啥 08/23 08:01
40Flomorobin: 他依照正常程序你不理 公開後又急著ban他 極權國家? 08/23 08:01
41Fwizardfizban: 樓上你弄錯了 他是因為被ban才直接公開 08/23 08:02
42FOldYuanshen: 解決提出問題的人XDD 08/23 08:02
43Flucifiel1618: 比起態度問題還是多重視它實質造成的資安風險吧,把 08/23 08:03
44Flucifiel1618: 問題放在態度上也太避重就輕 08/23 08:03
45Famsmsk: 可是我看文章比較像是他公開後ban吧 08/23 08:04
46Fddrshrimp: 真的活該 08/23 08:05
47Fwizardfizban: 你弄錯時序了 這次的是因為被ban才直接公開 08/23 08:06
48FGiornno: 可是漏洞也沒修好,駭客除了用公開來反制,還有其它手段 08/23 08:06
49FGiornno: 嗎 08/23 08:06
50FSHCAFE: 順序是 提交第一個BUG無果>公開BUG被ban>因為被ban直接公 08/23 08:06
51FSHCAFE: 開第二個BUG 08/23 08:06
52FSischill: 主要是被BAN後也沒修呀 公開才開始急著修wwwww 08/23 08:07
53Famsmsk: 我跟瘋法講的是不同時段XDD 基本上就是樓上那樣子 08/23 08:07
54FSischill: 看起來就是本來就不想修 所以自以為處理掉白帽駭客比較 08/23 08:07
55FSischill: 快 08/23 08:08
56FMalpais: 獎金不一定要發 但別人跟你講了漏洞還不修就錯了 08/23 08:08
57Fkenyun: 就規則多打一條補丁 這種搞自己電腦的BUG 給個1$不過份吧 08/23 08:09
58FGiornno: 一般人不懂啦,可能在steam眼裡真的不是大漏洞,但被發現 08/23 08:09
59FGiornno: 了就要修吧 08/23 08:09
60FMalpais: 這類漏洞可以給已入侵卻還沒權限的木馬提權 不用實體碰觸 08/23 08:09
61FSHCAFE: 因為這BUG不會直接影響到steam營收啊 就想裝死等風頭過去 08/23 08:10
62Ffarseer7: 過太爽 08/23 08:11
63Fsumarai: 商店能賣遊戲就好,玩家資安自己處理 08/23 08:11
64Fwizardfizban: 簡單來說這bug需要駭客先在目標電腦有權限 像是有 08/23 08:12
65FBoris945: 真的是解決提出問題的人 08/23 08:12
66Fwizardfizban: 帳號和木馬 才能作用 所以steam覺得不算嚴重 08/23 08:12
67Fwizardfizban: 也沒在獎金規則內 但他後來ban人真的太誇張 08/23 08:13
68Fleo255112: 白帽駭客也敢得罪…幫你抓漏洞耶 08/23 08:13
69FSischill: 這應該會惹火一票白帽吧 08/23 08:13
70FMalpais: Kravets 自己之前也有說他知道這個漏洞不容易被利用 但對 08/23 08:13
71Fbadend8769: 幹嘛BAN人 V社怎麼又在耍智障 08/23 08:14
72FMalpais: 方的處理態度還是讓他很不爽 08/23 08:14
73FNravir: 87敢惹白駭客,還是發現漏洞的 08/23 08:14
74Fsumarai: V社推給合作網站了,說網站誤解他們意思 08/23 08:15
75FMalpais: 我猜如果一開始就給個小錢幾百鎂打發就沒事了XDDD 08/23 08:15
※ 編輯: Malpais (202.182.125.159 日本), 08/23/2019 08:16:48
76FNravir: 把發現漏洞的人解決掉,不就沒有漏洞了ㄇ= = 08/23 08:16
77Fspfy: 最近過太爽 Steam以為所有人都跟_PIC一樣好對付 08/23 08:16
78Fcornsoup: 為了名譽 而去解決善良的人 幹得好官方 有夠87 08/23 08:17
79Fyulbin98: 說實話,這感覺很不steam 08/23 08:18
80Fbrianhsu: 不在規則內不發獎金沒問題,但直接把人 ban 掉不許回報 08/23 08:20
81Fbrianhsu: 就太扯了。 08/23 08:20
82Fshinkiro: steam低能哈哈 08/23 08:20
83Fwizardfizban: 不..這是Valve風格沒錯 反應時不時慢半拍 08/23 08:20
84Fwizardfizban: 你把某神器拿來比對就知道了 08/23 08:21
85FSHCAFE: 神器現在還有多少玩家啊 湊一湊能不能玩大逃殺 08/23 08:22
86Fwizardfizban: 不知道是G胖老了還怎樣 現在的Valve有點鬆 08/23 08:23
87Fgn50711: 好扯喔 08/23 08:23
88FSischill: G胖應該只管重要決策吧 組織一大了難免都會有蟑螂的 08/23 08:25
89Fpeterturtle: 上次果然是技術力不足硬把漏洞幹過去而已 08/23 08:25
90Fegg781: 所以就欠電阿 08/23 08:25
91Frp20031219: 蠻好笑的 把對方BAN掉讓他直接能公開漏洞 08/23 08:26
92FJohnShao: 找白帽麻煩XDDDD 08/23 08:26
93Fhorseorange: 我只希望G胖學會數三就好了 08/23 08:26
94Fz83420123: 幹想到G胖就氣 今年TI也有去 CSGO沒到過 08/23 08:26
95Fz83420123: 然後以前Major 3次近年縮到2次 獎金成長也極少 08/23 08:27
96Fwiydluck: 有人要幫你Q產品 還要BAN人家 有病484R 08/23 08:27
97Fz83420123: CSGO之前eleague單一頻道破百萬還是紀錄 結果整個被放 08/23 08:28
98Fz83420123: 生 QQ 08/23 08:28
99Fpeterturtle: 但是V社能直接接觸到白帽嗎?我怎麼看兩起事件好像都 08/23 08:32
100Fpeterturtle: 是只通過網站聯絡的?整個反應不怎麼符合常理欸 08/23 08:32
101Fg5637128: 有些錢真的不該省 08/23 08:33
102Flucifiel1618: 透過網站聯絡怎麼了嗎= = 08/23 08:34
103Fpeterturtle: 畢竟剛剛才被公布問題還「忽略白帽問題」這件事情未 08/23 08:34
104Fpeterturtle: 免也太詭異,應該說正常人不會這麼幹 08/23 08:34
105Fpeterturtle: 上次的裝死擱置沒做額外聯絡也有點不太正常 08/23 08:35
106FSHCAFE: 不能用自己的思維去揣測別人,就像我們認為正常人是不會隨 08/23 08:36
107FSHCAFE: 地大小便的,但... 08/23 08:36
108Fa125g: EPIC什麼時候出來譴責 08/23 08:37
109Fpeterturtle: 就是我懷疑是情報交換中間可能有問題,才導致事件惡 08/23 08:38
110Fpeterturtle: 化,所以不想那麼早下定論的意思。用腳趾想也知道這 08/23 08:38
111Fpeterturtle: 種「鎖白帽」會讓情況惡化,所以這麼幹很奇怪啊 08/23 08:38
112FSischill: 不, VALVE裝死次數其實還蠻多的吧? 08/23 08:39
113FSischill: 我都懷疑steam只有客服退款是正常人了 08/23 08:40
114FGiornno: 可能決策部門在開威士忌趴踢 08/23 08:40
115Fc68111c: 垃圾平台 08/23 08:40
116FMalpais: hackerone 只是中介而已 他們的email有寫是 Team Valve 08/23 08:41
117FMalpais: 決定要ban 的 08/23 08:41
118Fc68111c: 紛紛快來護航 08/23 08:41
119Fspfy: EGS動態:寫新聞稿 08/23 08:43
120Fsuifong: 真垃圾的態度 08/23 08:43
121Fpeterturtle: 呃,我就是在等看看網站會不會公布那個Valve寫給網站 08/23 08:43
122Fpeterturtle: 要ban的E-mail 08/23 08:43
123FSaberMyWifi: Steam EPIC化!? 08/23 08:44
124Fvinex518: 還好我愛epic 08/23 08:50
125Fpeterturtle: 反正就是這幾年記者的所作所為讓我不太敢相信轉述 08/23 08:57
126Fvincentwg: 阿沒在規則內你ban人家幹嘛 誰知道白帽一個不爽轉黑帽 08/23 09:00
127FWoodstock1: 左邊蒸氣巨人 右邊中資巨人 08/23 09:01
128Fpeterturtle: 晚點來爬聲明稿好了 08/23 09:02
129Fks007: 是也不用ban他吧? 08/23 09:08
130Fg3sg1: V社不會這樣反應詭異就不是V社了 想想2之後的數字 08/23 09:12
131Fggeneration: 慘惹 思停也轉型成為慢性老害惹 08/23 09:15
132Fx21999125x: 小道消息: 上一個漏洞被修補後,有方法能繞過修補 08/23 09:18
134Fx21999125x: 2067274443833344 08/23 09:21
135FCrushQQ: 過太爽,惹得到不該惹的一群人 08/23 09:22
136Foiolo: 這真的是自找麻煩欸 steam 08/23 09:22
137FSechslee: 傻逼 08/23 09:28
138Fokashi206: Steam態度真的不優... 08/23 09:29
139Fvsepr55: 笑死,有夠忙 08/23 09:30
140Fdarren2586: 人不作死就不會死 08/23 09:30
141Fkuninaka: 還好我愛EPIC 08/23 09:31
142Fshawncarter: 這個Valve被電活該 08/23 09:31
143Fgametv: 真的很誇張耶 08/23 09:32
144Fdemon159000: 不愧是有錢胖子且很廢,白癡處理方式 08/23 09:43
145Fdemon159000: 馬的steam這麼有錢還吝嗇是想吃屎嗎? 08/23 09:44
146Fjames3510: 所以本來是要給多少G胖不肯給 08/23 09:45
147FMalpais: https://i.imgur.com/GSNx3q7.jpg 懸賞獎金表格 大概 08/23 09:48
148FMalpais: 不到一千鎂啦 08/23 09:48
149FTobyH4cker: 垃圾公司 08/23 09:48
150FMalpais: 可能200鎂都不用呢 08/23 09:49
151FTobyH4cker: 我看等等黑帽也來玩就好笑了 08/23 09:51
152Ftony5361627: Epic:嫩,我的用戶信用卡都被盜刷了 08/23 09:57
153Fgn50711: .........那懸賞金額出乎意料的低 v社你搞毛啊 08/23 10:00
154FPPTmilktea: 不說我還以為是在台灣發生的事情呢 原來是STEAM啊 08/23 10:01
155Fz7202172021: 等等黑帽一起進來玩 08/23 10:01
156Fvsepr55: 那個金額所以其實找漏洞都是找興趣的喔 08/23 10:01
157Fjympin: 不然你要用EPIC? 08/23 10:02
158Fpiyo0604: 不爽你要用Epic嗎! 08/23 10:05
159Fskuderic: 這次steam作法真是粗糙到不行 都大公司了 還是有想便宜 08/23 10:20
160Fskuderic: 行事的作風 真的不行 08/23 10:20
161Fzero11995: 垃圾公司 08/23 10:23
162Ftoulio81: 要碰到電腦才有效是Steam單方面說的啊! 08/23 10:28
163FZoro80298: 解決發現問題的人 我還以為是中資 08/23 10:30
164Fkaj1983: 錢多又摳門,不e外 08/23 10:32
165FShiki2014: 笑死 幫你抓到漏洞還吃ban 比epic還爛欸XDD 08/23 10:36
166Floverxa: 沒給錢還要被ban 呵 08/23 10:37
167Fmax90283: valve一貫的風格 裝死冷處理 玩他們家的遊戲動不動就被 08/23 10:43
168Fmax90283: 放生 08/23 10:43
169FSCLPAL: 呵呵 08/23 10:46
170Fcomet1224: 人家做善事還ban對方 08/23 10:47
171FJiajun0724: 這很V社 08/23 10:47
172Fs12358972: Steam肯定知道可以用其他方法利用這個漏洞 08/23 10:52
173Fs12358972: 但是他們覺得一般人做不到才會說要碰到電腦 08/23 10:52
174Fb852258: 才幾佰鎂也不給,都這麼大間公司了... 08/23 10:54
175Fkaj1983: 重點是ban掉對方吧,這做法很阿共 08/23 10:57
176Fkaj1983: 有異音就把人bang不見 08/23 10:57
177FPeruheru: 請問我可以轉錄文章到資安版嗎? 08/23 11:06
178Fguogu: 沒在規則內即使不給錢也不該去BAN回報者啦 08/23 11:08
179Fnotneme159: steam要出現下坡了嗎 08/23 11:10
180Fguogu: steam把問題丟給了中介網站 看看中介網站有沒有要回什麼囉 08/23 11:11
181Fkaj1983: 還有人護航這是valve風格,蒸粉齁... 08/23 11:12
182Fandy78328: 我看漏了啥嗎 這串明明一面倒認為valve錯了 哪有人護 08/23 11:18
183Fandy78328: 航 08/23 11:18
184Fpatrickleeee: 是EPIC粉喔 這麼見獵心喜 這麼快就說人蒸粉 08/23 11:26
185Fzxcasd328: 裝死第一名 看看那個神器就知道了 08/23 11:26
186FCowBaoGan: 解決不了問題就解決提出問題的人 很好 這很中資w 08/23 11:37
187Fdavideason: 就欠抽R 向學某E社 08/23 11:39
188Fkaj1983: 蒸粉平常獵E有少過嗎?也換E粉開心一下嘛XDD 08/23 11:39
189Fa204a218: 哪有什麼不像steam的,steam耍腦的次數也沒少過吧 08/23 11:42
190Ftom282f3: 這世界上竟然有E粉?! 08/23 11:44
191Ftwolight: 簡直是白痴 08/23 11:47
192Fs2327259: 負責這件事的人員要降職吧 完全不合理的處置方式 08/23 11:51
193Fzeroyang: 公開了還不修 根本有病… 08/23 11:55
194Fguogu: 公開後修了 是通報的時候沒修 08/23 12:03
195Fguogu: 這次的是類似但是不同做法的 08/23 12:03
196Feu5566: v社日常 08/23 12:07
197Fryuter: 解決提出問題的人.可以.跟我大台灣帝國領導人很像 08/23 12:33
198Fhms5232: 這次是Steam活該 人家幫你找漏洞不給獎金就算了還ban人 08/23 12:36
199Fawsq00000: 真的過太爽 收手續費就吃飽的公司 還會這樣子雞蛋條骨 08/23 12:41
200Fawsq00000: 頭? 08/23 12:41
201Fr901700216: 解決提出問題的人 母湯 08/23 12:48
202FleamaSTC: 笑死 省這個錢根本找死 08/23 13:00
203Fblackphantom: steam這樣不行 08/23 13:06
204Fqscgg: steam 過太爽 活該被教訓 08/23 13:21
205Fyaiwuyi: 拍安全漏洞,所以我都用steam,咦 08/23 13:22
206Ftyifgee: Steam這次處理事情的態度真的有問題 08/23 13:26
207Filohoo: 如果這問題嚴重到要封口要ban人,那就有提供獎金和修復的 08/23 13:37
208Filohoo: 價值。反過來如果是沒這個價值,那並不需要封口啊。 08/23 13:37
209Fhayate65536: 那個漏洞真的有跟沒有一樣爛到笑,不過省這個錢不太 08/23 13:39
210Fhayate65536: 好吧 08/23 13:39
211FMalpais: 說這漏洞爛的誤會可大了 它不能從0-100但跟其他未知漏 08/23 13:52
212FMalpais: 洞合併用的話就會有殺傷力 說不定這漏洞占的10%就是最 08/23 13:52
213FMalpais: 後一塊拼圖 說這漏洞沒用就像是說因為小偷沒有你家大 08/23 13:52
214FMalpais: 門鑰匙所以被小偷知道你家保險箱密碼也沒關係一樣 08/23 13:52
215FMalpais: 只要使用者自己先開門讓木馬進來了 原本沒有權限的木馬 08/23 13:53
216FMalpais: 就能因為steam取得管理員權限 08/23 13:53
217FCTUST: 中共高層喔?不爽就ban你 錢還是不給 08/23 14:14
218Fsiyaoran: 真的不嚴重還需要封口喔 08/23 14:25
219Ftw15: 這公司操作48487R 08/23 14:37
220FLonyIce: Steam是用什麼理由ban他 還是沒講理由就直接ban啊 08/23 14:52
221Fjoygo: 獨佔後果然還是唉唉唉 08/23 15:08
222Fjoygo: 更正獨大後 08/23 15:08
223Fliberaloner: 還敢渡假阿G胖 08/23 16:00
224Fcheng31507: 省這點錢根本找死 08/23 16:54
225Fcmcmcmcm2: VALVE這做法真的好笑 有夠笨XD 08/23 17:56
226Faxakira: 敬酒不吃吃罰酒,欠修理 08/23 18:24
227Fgp99000: 有沒有搞錯啊,這個人沒有基本禮節,被搞活該 08/23 19:54
228Fvnon: HackerOne處理也有問題 https://i.imgur.com/dnJtHxR.jpg 08/23 20:33

c_chat 熱門文章

[輝夜] 更多石伊糖
C_Chat mini31241 29留言 2019-10-15 17:23:47
[閒聊] 胸部?臀部?
C_Chat ninomae 42留言 2019-10-15 17:10:31
Re: [閒聊] 初入坑碧藍航線
C_Chat Justapig 53留言 2019-10-15 16:38:32