根據科技媒體CbyerScoop的報導,漏洞通報及獎勵平臺HackerOne最近把投票程式Voatz請出了該平臺,原因是Voatz與該平臺的安全社群發生了衝突,而這也是成立8年的HackerOne,頭一次把客戶踢出門。

幾名麻省理工學院(MIT)的研究人員在日前公布一報告,指稱Voatz投票程式含有多個安全漏洞,將允許駭客窺探、攔截並竄改投票結果,並建議未來在打造投票程式時應該要小心為上。

而Voatz則回應,MIT的研究採用了非常舊的版本,並未被實際應用在選舉活動中,也從未能連結到Voatz伺服器,該研究所得出的結論,都是基於他們捏造可連結至Voatz伺服器的想像。Voatz也說自家程式曾在9個小型的選舉活動上進行測試,並無傳出任何安全問題。

除此之外,Voatz也批評MIT的研究未經測試,還說研究人員的建議是惡意的。

然而,資安業者Trail of Bits卻發現,MIT研究人員所揭露的是真實存在的漏洞,而且該公司總計找出了Voatz程式的79個漏洞,當中有高達三分之一屬於嚴重漏洞。

另外,Voatz變更了該公司在HackerOne上的政策,指出無法替存取該公司選舉系統的白帽駭客提供法律上的保障;使得研究人員批評Voatz的抓漏獎勵方案只是行銷手段,而非真的想與安全社群建立關係,因為該政策等於是限制了研究人員可存取及抓漏的範圍。

對於結束與Voatz的關係,HackerOne表示,該平臺優先考慮那些與安全社群誠心互動,同時提供適當存取權限的組織合作,在評估Voatz與社群的互動模式之後,決定終止與Voatz的專案。

至於Voatz則說,這是因為有少數研究人員造謠說該公司向FBI檢舉了一名研究人員,但並無此事。未來該公司將會自行推出抓漏獎勵專案。


Advertisement

更多 iThome相關內容