Slack在今年修補了一個遠端程式攻擊漏洞,受到外界注意的不僅是該漏洞極其危險,還加上Slack只支付了1,750美元予發現該漏洞的研究人員,讓其他研究人員紛紛替其抱不平。

代號為oskars的研究人員是透過HackerOne平台提交漏洞予Slack,根據說明,駭客只要利用程式內的重新定向至 logic/open重新定向,或者是HTML或javascript注射,就能於桌面版Slack程式中執行任意程式,而且同時危及Windows、macOS與Linux平台。

成功的攻擊不僅允許駭客取得Slack用戶的私有檔案、私鑰、密碼或內部網路存取權,駭客也可注入蠕蟲式的酬載,讓任何點選該酬載的團隊成員一併被感染。

HackerOne在Slack修補該漏洞之後公開了漏洞細節,顯示該漏洞被列為重大(Critical)風險等級,且oskars獲得了1,750美元的獎金。

同樣身為白帽駭客的Daniel Cuthbert很快就跳出來替oskars抱不平,指出一個數千萬人使用的協作平台,竟然只付1,750美元給揭露重大漏洞的研究人員,oskars大可把該漏洞出售給exploit.in等懸賞重大漏洞的第三方業者,呼籲Slack應該制定更合理的獎勵金額。

另一位資安研究人員Alon Gal也說,倘若oskars把該漏洞賣給其它業者,應該至少可賺進數萬美元,政府也許應該規定企業應該支付更高的漏洞獎勵金額。

以專門對外懸賞零時差漏洞的Zerodium為例,若為路由器、vBulletin、Joomla或Drupal的遠端程式攻擊漏洞,最高價碼為1萬美元,若是更熱門的程式,像是Adobe PDF、WinRAR或7-Zip的遠端程式攻擊漏洞,最高價碼則是8萬美元。

Mashable也向Slack詢問,得到發言人制式的回應而沒有針對這起爭議說明,Slack表示,該公司非常重視資安社群的貢獻,將會繼續檢討其抓漏獎勵的支付規模,以表達他們對研究人員的認同。


熱門新聞

Advertisement