前些日子有安全研究員向外界公開，著名的遊戲平台Steam一直存在有一個高危的零日漏洞，嚴重影響用戶系統的安全。而他向Valve報告這個漏洞並請他們修復的時候被拒絕了。不過Valve最終還是修復了這個漏洞並更新了他們的漏洞回報獎勵計劃，同時還重審了之前對於安全研究者的封禁。

這個零日漏洞是一個本地提權漏洞，會讓惡意軟件通過Steam客戶端來獲得管理員權限從而取得整個系統的控制權。這個漏洞由一名俄羅斯的安全研究員Vasily Kravets在六月份發現，並很快提交給了Valve，不過由於官方的不作為甚至禁止他參與官方的漏洞回報獎勵計劃，他最終在45天后向外界公開了該漏洞的存在，隨後不久，Valve便發布了客戶端更新修復了該漏洞。

簡單的說，在大眾看來這件事情就像是Valve不想給安全研究人員獎勵一樣，一時間批評聲喧囂塵上。然而在今天Valve官方人員去給ZDNet的一封電子郵件中，他們將這件事情稱為“一個巨大的誤解”。他們在信中寫道：

我們HackerOne項目的規則僅僅旨在為了排除那些之前系統中就被安裝有惡意軟件，並且Steam被指示去打開這些軟件的報告。相反，對於規則的誤解也使得排除了更嚴重的攻擊報告，比如通過Steam來進行本地提權攻擊這樣的報告。我們已經更新了HackerOne項目的條款，確保在範圍之內的問題可以被明確說明並報告。

發言人同樣承認拒絕Vasily Kravets的第一份報告是一個錯誤，他們正在對這種特殊情況進行審視，以確定他們該做出什麼樣的合適行動。不過在早些時候詢問Vasily Kravets的時候，他說自己還是被ban的狀態。就在昨天他還披露了Steam客戶端另外一個零日漏洞，這兩個零日漏洞都已經被Valve修復了，正在beta客戶端中進行測試，不久會進入主客戶端中。

年初的時候，HackerOne將Valve排在他們自己的最佳漏洞獎勵平台榜單的第9名，一共20名。

在過去的兩年中，我們已經收集並獎勵了263位社區中的安全研究者，他們幫助我們找到並修復了大約500個安全問題，我們支付了約675000美元的獎金。