Slack及其许多桌面应用程序用户只是躲过了一个烦

记者科技工作者和D&D爱好者所依赖的通讯工具上周五披露了一个“关键”漏洞(现已修复)该漏洞会让黑客在用户的计算机上疯狂奔跑Slack的内部安全团队甚至都没有发现该错误相反是在一月份通过漏洞悬赏平台HackerOne进行报告的是第三方安全研究人员

值得注意的是该漏洞利用程序允许执行所谓的“远程代码执行”这听起来像是一样糟糕在Slack修复它之前使用该漏洞的攻击者可能已经做了一些相当疯狂的事情例如获得“访问私有文件私有密钥密码秘密内部网络访问等”和“访问私有对话文件等” ”

此外根据该披露恶意倾斜的黑客可能已经使他们的攻击“可蠕虫”换句话说如果您团队中的一个人被感染他们的帐户将自动将该危险有效负载重新分配给所有同事

值得强调的是发现此漏洞的安全研究人员(该过程需要花费大量时间而且是名副其实的工作)决定采取许多人认为正确的事情然后通过HackerOne报告给Slack对于安全研究人员来说其HackerOne处理程序是oskars 这将导致$ 1750的错误赏金

当然如果那个人想要的话通过将其出售给第三方漏洞利用经纪人他们可能会获得更多更多的钱像Zerodium这样的公司会为零日攻击提供数百万美元然后将这些攻击卖给政府

计算机安全社区的成员很快指出了这种重要漏洞的相对微不足道的支出

通过这些努力他们获得了$ 1750

一百七十美元的奖金@SlackHQ首先缺陷是一个相当大的问题我的意思是验证很困难但是请继续然后付款

政府是否应该要求公司支付更多的错误赏金

Slack是一家市值200亿美元的公司其Bug赏金计划的一部分为RCE支付了1750美元

如果研究人员将其出售给一家私人公司他将赚取数万美元

惊人的报告太糟糕了据报道是通过H1勒芒被偷走了

我们与Slack进行了联系以确定其如何确定漏洞赏金的金额以及它是否对安全社区成员提出的批评做出回应作为回应公司发言人回答说Slack为漏洞赏金支付的金额不是一成不变的

发言人部分写道：“我们的漏洞赏金计划对于确保Slack的安全至关重要” “我们非常重视安全和开发人员社区的贡献我们将继续审查我们的支付规模以确保我们认可他们的工作并为我们的客户创造价值”

发言人还指出该公司“于2月20日实施了初步修复”

有趣的是Slack确实增加了愿意向漏洞赏金研究人员支付的信息以进行协调披露通过查看其HackerOne配置文件页面可以看出截至撰写本文时报告远程执行代码漏洞的价值为“ $ 5000起”

对于oskars来说为时已晚但这也许会鼓励下一个在Slack中发现严重漏洞的安全研究人员向好人报告该漏洞为了各地的Slack用户我们应该希望如此