HackerOne把投票程序開發商Voatz踢出漏洞通報平台

根據科技媒體CbyerScoop的報道，漏洞通報及獎勵平台HackerOne最近把投票程序Voatz請出了該平台，原因是Voatz與該平台的安全社群發生了衝突，而這也是成立8年的HackerOne，頭一次把客戶踢出門。

幾名麻省理工學院（MIT）的研究人員在日前公布一報告，指稱Voatz投票程序含有多個安全漏洞，將允許黑客窺探、攔截並篡改投票結果，並建議未來在打造投票程序時應該要小心為上。

而Voatz則回應，MIT的研究採用了非常舊的版本，並未被實際應用在選舉活動中，也從未能連接到Voatz伺服器，該研究所得出的結論，都是基於他們捏造可連接至Voatz伺服器的想像。Voatz也說自家程序曾在9個小型的選舉活動上進行測試，並無傳出任何安全問題。

除此之外，Voatz也批評MIT的研究未經測試，還說研究人員的建議是惡意的。

然而，安全企業Trail of Bits卻發現，MIT研究人員所披露的是真實存在的漏洞，而且該公司總計找出了Voatz程序的79個漏洞，其中有高達三分之一屬於嚴重漏洞。

另外，Voatz變更了該公司在HackerOne上的政策，指出無法替訪問該公司選舉系統的白帽黑客提供法律上的保障；使得研究人員批評Voatz的漏洞挖掘獎勵方案只是營銷手段，而非真的想與安全社群創建關係，因為該政策等於是限制了研究人員可訪問及漏洞挖掘的範圍。

對於結束與Voatz的關係，HackerOne表示，該平台優先考慮那些與安全社群誠心交互，同時提供適當訪問許可權的組織合作，在評估Voatz與社群的交互模式之後，決定終止與Voatz的項目。

至於Voatz則說，這是因為有少數研究人員造謠說該公司向FBI舉報了一名研究人員，但並無此事。未來該公司將會自行推出漏洞挖掘獎勵項目。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！