Slack在今年修补了一个远程程序攻击漏洞,受到外界注意的不仅是该漏洞极其危险,还加上Slack只支付了1,750美元给发现该漏洞的研究人员,让其他研究人员纷纷替其抱不平。
代号为oskars的研究人员是通过HackerOne平台提交漏洞给Slack,根据说明,黑客只要利用程序内的重新定向至logic/open重新定向,或者是HTML或javascript注射,就能于桌面版Slack程序中执行任意程序,而且同时危及Windows、macOS与Linux平台。
成功的攻击不仅允许黑客取得Slack用户的私有文件、私钥、密码或内部网络访问权,黑客也可注入蠕虫式的酬载,让任何点击该酬载的团队成员一并被感染。
HackerOne在Slack修补该漏洞之后公开了漏洞细节,显示该漏洞被列为重大(Critical)风险等级,且oskars获得了1,750美元的奖金。
同样身为白帽黑客的Daniel Cuthbert很快就跳出来替oskars抱不平,指出一个数千万人使用的协作平台,竟然只付1,750美元给披露重大漏洞的研究人员,oskars大可把该漏洞出售给exploit.in等悬赏重大漏洞的第三方企业,呼吁Slack应该制定更合理的奖励金额。
另一位安全研究人员Alon Gal也说,倘若oskars把该漏洞卖给其它企业,应该至少可赚进数万美元,政府也许应该规定企业应该支付更高的漏洞奖励金额。
以专门对外悬赏零时差漏洞的Zerodium为例,若为路由器、vBulletin、Joomla或Drupal的远程程序攻击漏洞,最高价格为1万美元,若是更热门的程序,像是Adobe PDF、WinRAR或7-Zip的远程程序攻击漏洞,最高价格则是8万美元。
Mashable也向Slack询问,得到发言人制式的回应而没有针对这起争议说明,Slack表示,该公司非常重视安全社群的贡献,将会继续检讨其漏洞挖掘奖励的支付规模,以表达他们对研究人员的认同。