北(běi)京時間11月21日午間消息,今年8月,大(dà)疆啓動了漏洞獎勵計劃,獎勵發現信息安全漏洞的研究人員(yuán)。然而,這方面的工(gōng)作正在給大(dà)疆帶來争議。
信息安全研究員(yuán)凱文·菲尼斯特爾(Kevin Finisterre)本周發布了一(yī)篇長文,講述了他參與大(dà)疆漏洞獎勵計劃的糟糕經曆。這篇文章随後登上了美國最主要技術讨論版Hacker News的頭條。
菲尼斯特爾與合作的其他黑客共同發現了大(dà)疆網頁安全的一(yī)個嚴重漏洞。他們獲得了大(dà)疆意外(wài)發布至GitHub的SSL認證私鑰,從而可以獲得儲存在大(dà)疆服務器上的敏感用戶信息。他詢問大(dà)疆,這個問題是否屬于漏洞獎勵的範疇,大(dà)疆做出了确認。因此,菲尼斯特爾提交了一(yī)份詳細報告。大(dà)疆批準了他的申請,并提供了3萬美元的最高獎金。
不過,在發給菲尼斯特爾的合同中(zhōng),大(dà)疆要求他不能公開(kāi)讨論工(gōng)作細節,甚至不要提到他曾經爲大(dà)疆從事過信息安全方面的工(gōng)作。然而對類似菲尼斯特爾的研究員(yuán)來說,公衆認可同樣很重要。在雙方協商(shāng)期間,大(dà)疆的法務團隊發來一(yī)封郵件,威脅用《計算機欺詐和濫用法》起訴他。菲尼斯特爾認爲,這是種赤裸裸的威脅。他最終決定放(fàng)棄這筆獎金,并公開(kāi)自己的經曆。
漏洞獎勵平台Bugcrowd産品副總裁喬納桑·克蘭(Jonathan Cran)對此表示,大(dà)疆應當盡快解決問題,而不是威脅采取法律行動。
上一(yī)篇:人工(gōng)智能:阻擋多階段魚叉式網絡釣魚攻擊的新希望
下(xià)一(yī)篇:安全報告:物(wù)聯網設備成爲DDoS攻擊增長的主要來源