スポンサーリンク

Valve、脆弱性発見者への報奨金プログラムを開始

News

2018年5月8日、Steamを運営するValveは、バグ発見報奨金プラットフォームの「HackerOne」にプロジェクトを掲載し、Valveが提供するサービスに対して脆弱性を発見・報告した研究者に対して報奨金を支払う取り組みを開始した。

Valve - Bug Bounty Program | HackerOne
The Valve Bug Bounty Program enlists the help of the hacker community at HackerOne to make Valve more secure. HackerOne is the #1 hacker-powered security platfo...

報奨金は、最低100ドルから、発見した脆弱性の深刻度(CVSS)によって1500ドル~2000ドル以上の報奨金を支払うとしている。報奨金支払いの対象となるサービスは以下の通り。

  • steampowered.com, steamcommunity.com, steamgames.com, valvesoftware.com, counter-strike.net, dota2.com, teamfortress.com及びサブドメイン
  • Steamクライアント(Windows、Mac、Linux)
  • Steamモバイルアプリ(iOS/Android)
  • Steam CMD
  • Steam OS
  • Steamworks SDK
  • Steam Server
  • Valveの提供するゲームタイトル
  • Valveの提供するゲームタイトルの専用サーバーやゲーム内の通貨システム

プロジェクトの報告ページでは、MySQLのユーザー名とパスワードが漏洩しているという投稿や、ストアページのマークダウンに悪意のあるスクリプトを埋め込める不具合(XSS)があるという投稿が寄せられていた。サイト内の表示によると、それぞれの脆弱性は解決済みとなっていて、報告したユーザーに対しては、1000ドルが支払われた模様だ。