Ayer mismo nos hacíamos eco de que Valve, compañía al cargo de Steam, expulsó del programa HackerOne a un investigador que descubrió varias vulnerabilidades en la plataforma. Tras descubrir la primera, que no parcheó el bug, dicho investigador volvió a hacerse eco de una segunda falla que afectaba a la totalidad de usuarios de Steam en Windows, lo que hizo reaccionar a la compañía rápido, solventando el problema en la versión beta.

Hoy, tenemos noticias de que Valve afirma que fue un error expulsar a Vasily Kravets (el investigador), y que todo se debió a "una mala interpretación de las reglas". Esto, condujo a la exclusión de un ataque más serio, que llevó a cabo la escalada de privilegios locales a través de Steam.

Valve admite el error, pero el investigador no deja de estar expulsado del programa

Valve ha actualizado las reglas del programa HackerOne indicando, ahora sí, que los problemas que detectó el investigador están dentro su alcance. En concreto, se descubrió que era posible ejecutar malware de forma local desde cualquier dispositivo Windows que utilizase Steam, ya que la vulnerabilidad posibilitaba los permisos de lectura y escritura en los PCs.

Tras hacerse pública la vulnerabilidad, Valve expulsó a Kravets, que decidió responder "al ataque" con otra vulnerabilidad más, que seguía permitiendo el acceso local a los ordenadores con Windows. Días más tarde, estos errores se han parcheado de Steam, y Valve comunica que fue un error no incluirlos dentro de HackerOne debido a una mala …