记者、技术人员和研发爱好者所依赖的通信工具上周五披露了一个关键漏洞--现在已经修复--该漏洞会让黑客在用户电脑上肆虐。Sack';的内部安全团队甚至没有发现这个漏洞;相反,是第三方安全研究人员在1月份通过漏洞赏金平台HackerOne报告了这个漏洞。
特别值得一提的是,该漏洞允许远程代码执行,这和听起来一样糟糕。在Slake修复该漏洞之前,使用该漏洞的攻击者可能已经做了一些非常疯狂的事情,例如获得访问私有文件、私钥、密码、机密、内部网络访问等,以及访问Slake中的私人对话、文件等。";
更重要的是,据披露,有恶意倾向的黑客可能会让他们的攻击变得更有价值。换句话说,如果你的团队中有一个人被感染,他们的账户会自动将危险的有效负载重新分享给所有同事。
值得一提的是,发现这个漏洞的安全研究人员决定做许多人认为正确的事情,并通过HackerOne将其报告给Slake。这个过程耗费了无数个小时的工作,而且是一项字面上的工作。对于这位HackerOne账号为Oskars的安全研究人员来说,这导致了1750美元的漏洞赏金支付。
当然,如果那个人想要的话,他们很可能会通过把它卖给第三方利用漏洞的经纪人来获得更多的钱。像Zerodium这样的公司,为零日漏洞提供数百万美元,反过来又将这些漏洞出售给政府。
计算机安全界的成员很快就指出,如此重要的漏洞的支出相对微不足道。
由于所有的努力,他们得到了1750美元,1,750美元。@SlackHQ首先,缺陷是一个相当大的问题,我的意思是验证很难,但是拜托,然后支付正确的费用。因为这在https://t.co/cqxDDdazqH上会更值钱。
政府应该要求公司支付更多的漏洞赏金吗?Sack是一家价值200亿美元的公司,作为其漏洞赏金计划的一部分,它支付了1750美元购买了一台RCE。如果这位研究人员把它卖给一家私人公司,他会赚到数万美元。
我们联系了Slake,试图确定它是如何决定漏洞赏金金额的,以及它是否对安全社区成员提出的批评做出了回应。对此,公司发言人回应称,Slake为漏洞赏金支付的金额并不是一成不变的。
发言人在部分内容中写道,我们的漏洞赏金计划对于确保Slake的安全至关重要。我们非常重视安全和开发人员社区的贡献,我们将继续审查我们的支出规模,以确保我们认可他们的工作并为我们的客户创造价值。
有趣的是,Slake似乎确实提高了愿意支付给漏洞赏金研究人员的金额,以换取协调一致的披露。看看它的HackerOne个人资料页面就会发现,在写这篇文章的时候,报告远程代码执行漏洞将获得5000美元以上的奖励。
对奥斯卡来说太晚了,但也许这会鼓励下一位在Slake中发现关键漏洞的安全研究人员将其报告给好人。为了各地松弛用户的利益,我们应该希望如此。
更新时间:2020年8月29日下午1:49。PDT:这篇报道已经更新,加入了斯拉克的声明。