Slack修補遠端程式攻擊漏洞，只付1,750美元惹爭議

Slack在今年修補了一個遠端程式攻擊漏洞，受到外界注意的不僅是該漏洞極其危險，還加上Slack只支付了1,750美元予發現該漏洞的研究人員，讓其他研究人員紛紛替其抱不平。

代號為oskars的研究人員是透過HackerOne平台提交漏洞予Slack，根據說明，駭客只要利用程式內的重新定向至 logic/open重新定向，或者是HTML或javascript注射，就能於桌面版Slack程式中執行任意程式，而且同時危及Windows、macOS與Linux平台。

成功的攻擊不僅允許駭客取得Slack用戶的私有檔案、私鑰、密碼或內部網路存取權，駭客也可注入蠕蟲式的酬載，讓任何點選該酬載的團隊成員一併被感染。

HackerOne在Slack修補該漏洞之後公開了漏洞細節，顯示該漏洞被列為重大（Critical）風險等級，且oskars獲得了1,750美元的獎金。

同樣身為白帽駭客的Daniel Cuthbert很快就跳出來替oskars抱不平，指出一個數千萬人使用的協作平台，竟然只付1,750美元給揭露重大漏洞的研究人員，oskars大可把該漏洞出售給exploit.in等懸賞重大漏洞的第三方業者，呼籲Slack應該制定更合理的獎勵金額。

另一位資安研究人員Alon Gal也說，倘若oskars把該漏洞賣給其它業者，應該至少可賺進數萬美元，政府也許應該規定企業應該支付更高的漏洞獎勵金額。

以專門對外懸賞零時差漏洞的Zerodium為例，若為路由器、vBulletin、Joomla或Drupal的遠端程式攻擊漏洞，最高價碼為1萬美元，若是更熱門的程式，像是Adobe PDF、WinRAR或7-Zip的遠端程式攻擊漏洞，最高價碼則是8萬美元。

Mashable也向Slack詢問，得到發言人制式的回應而沒有針對這起爭議說明，Slack表示，該公司非常重視資安社群的貢獻，將會繼續檢討其抓漏獎勵的支付規模，以表達他們對研究人員的認同。