Drie actieve bugs in Steam maken de gameclient kwetsbaar voor remote code execution via invites en servers van derden. Twee van de bugs zijn al twee jaar niet gerepareerd, ook al zijn deze twee jaar geleden al gemeld via HackerOne. De melders mogen de kwetsbaarheid niet delen.
De groep hackers, onder de naam The Secret Club, heeft drie de kwetsbaarheden via het bugbountyprogramma op HackerOne gemeld, zonder dat de bugs gefikst zijn. Ook krijgen zij geen bericht van Valve na herhaaldelijk contact zoeken. Het gaat om een kwetsbaarheid die remote code execution mogelijk maakt in alle Source-engine games via een Steam invite, een kwetsbaarheid die remote code execution mogelijk maakt in Team Fortress 2 via community servers en een zeroday die remote code execution mogelijk maakt in CS:GO. Geen van de drie kwetsbaarheden zijn tot op heden door Valve gepatcht.
De kwetsbaarheden maken het mogelijk om via Steam een extern programma te openen in het OS, zoals in het voorbeeld van de makers de rekenmachine, om zo in potentie een computer over te nemen of software te draaien om persoonlijke informatie te stelen van gebruikers. Voor Steam-gebruikers betekent het dat zij geen vriendenverzoeken meer kunnen accepteren of communityservers kunnen joinen, zonder te riskeren dat hun systeem overgenomen wordt.
De oudste bug twee jaar geleden werd ontdekt door de Duitse hacker Florian, op Twitter @floesen. De bug werd erkend op het platform na een aantal maanden en een half jaar geleden kreeg de hacker, na herhaaldelijk contact opnemen met Valve en HackerOne, een vergoeding voor zijn melding. Maar twee jaar na het melden van de bug is deze niet gefikst, en hij mag zijn bevindingen niet openbaar delen.
De groep zegt actief tegengewerkt te worden in het melden van de bugs, omdat zij volgens de regels van HackerOne niet mogen publiceren over de bugs, tenzij Valve hier toestemming voor geeft of de bug gefikst is. Zolang Valve niet reageert, kunnen zij de kwetsbaarheden niet openbaren zonder het risico te lopen dat zij van het HackerOne-platform afgegooid worden.
Het is niet de eerste bug in Steam. In december patchte Valve de Steam-client na melding van beveiligingsonderzoekers in september van vier verschillende bugs die het mogelijk maakten om via Steam een computer over te nemen via third-partygameservers. En ook in 2019 werden kritieke bugs ontdekt door beveiligingsonderzoeker Vasily Kravets, schrijft Zdnet. De hacker stuitte op hetzelfde probleem als de onderzoekers van The Secret Club. Na het melden van de kwetsbaarheid deed Valve het af als niet geschikt en vond het niet relevant om de bug te fiksen.
Kravets kreeg van HackerOne te horen dat het de kwetsbaarheid niet mocht openbaren, ongeacht of Valve het geschikt vond of niet. Hij besloot alsnog de kwetsbaarheid te melden. Een andere onderzoeker ontdekte dezelfde kwetsbaarheid en in augustus 2019 volgde een patch, maar die is volgens Kravets makkelijk te omzeilen.
En Kravets en The Secret Club zijn niet de enigen die te horen hebben gekregen dat zij de kwetsbaarheden niet mogen openbaren, vanwege de regels van HackerOne. Zo zegt Twittergebruiker @killa dat hij meerdere keren tegen problemen aangelopen is het met melden van bugs bij Valve, omdat Valve het in tegenstelling tot andere bedrijven niet toestaat om kwetsbaarheden te openbaren als het bedrijf niet tijdig reageert op een bug report op HackerOne. Hij zegt dat publicatie betekent dat je van het platform wordt geweerd. Een ander zegt pas na elf maanden te zijn betaald voor een kwetsbaarheid in Valve. Beveiligingsonderzoeker Jake Gaeler wijdde zelfs een hele blog aan zijn ervaring met het melden van een kwetsbaarheid bij Valve op HackerOne.