2018年5月8日、Steamを運営するValveは、バグ発見報奨金プラットフォームの「HackerOne」にプロジェクトを掲載し、Valveが提供するサービスに対して脆弱性を発見・報告した研究者に対して報奨金を支払う取り組みを開始した。
Valve - Bug Bounty Program | HackerOne
The Valve Bug Bounty Program enlists the help of the hacker community at HackerOne to make Valve more secure. HackerOne is the #1 hacker-powered security platfo...
hackerone.com
報奨金は、最低100ドルから、発見した脆弱性の深刻度(CVSS)によって1500ドル~2000ドル以上の報奨金を支払うとしている。報奨金支払いの対象となるサービスは以下の通り。
- steampowered.com, steamcommunity.com, steamgames.com, valvesoftware.com, counter-strike.net, dota2.com, teamfortress.com及びサブドメイン
- Steamクライアント(Windows、Mac、Linux)
- Steamモバイルアプリ(iOS/Android)
- Steam CMD
- Steam OS
- Steamworks SDK
- Steam Server
- Valveの提供するゲームタイトル
- Valveの提供するゲームタイトルの専用サーバーやゲーム内の通貨システム
プロジェクトの報告ページでは、MySQLのユーザー名とパスワードが漏洩しているという投稿や、ストアページのマークダウンに悪意のあるスクリプトを埋め込める不具合(XSS)があるという投稿が寄せられていた。サイト内の表示によると、それぞれの脆弱性は解決済みとなっていて、報告したユーザーに対しては、1000ドルが支払われた模様だ。