Slack仅向报告了严重漏洞的研究员支付了1,750美元的奖励
来源: 2021-03-04 14:47:46
Slack是流行的工作场所通信和协作平台,它修复了一个严重漏洞,该漏洞可能使黑客能够访问用户的计算机。该漏洞是由第三方安全研究人员通过HackerOne错误赏金计划报告的。
据研究人员称,此漏洞可能使黑客能够运行“远程代码执行”。这样,他们就可以访问用户的“专用文件,专用密钥,密码,机密,内部网络访问权限等”。以及平台内的私人对话和文件。
“通过任何应用内重定向-逻辑/开放式重定向,HTML或javascript注入,都可以在Slack桌面应用中执行任意代码。该报告演示了一种特制的利用程序,包括HTML注入,安全控制旁路和RCE Javascript有效负载。研究人员在针对最新的Slack桌面版(4.2、4.3.2)(Mac / Windows / Linux)上进行了测试。”研究人员在一篇帖子中写道,现已公开。
有趣的是,Slack因报告该错误而仅向研究人员支付了1,750美元。许多研究人员批评Slack为报告这种严重的错误付出了很少的钱。有人还指出,通过将数据出售给另一家公司,研究人员本可以赚更多的钱。
Slack还响应了新的错误报告以及向黑客支付的金额。
“我们的错误赏金计划对于确保Slack的安全至关重要。我们深切珍视安全和开发人员社区的贡献,我们将继续审查支出规模,以确保我们认可他们的工作并为客户创造价值。”公司发言人告诉Mashable。
该发言人表示,该漏洞已于今年2月初修复。
猜你喜欢
今日头条
图文推荐
