记者,科技工作者和D&D爱好者所依赖的通讯工具上周五披露了一个“关键”漏洞(现已修复),该漏洞会让黑客在用户的计算机上疯狂奔跑。Slack的内部安全团队甚至都没有发现该错误。相反,是在一月份通过漏洞悬赏平台HackerOne进行报告的,是第三方安全人员进行的报告。
值得注意的是,该漏洞利用程序允许执行所谓的“远程代码执行”,这听起来很糟糕。在Slack修复该漏洞之前,使用该漏洞的攻击者可能已经做了一些相当疯狂的事情,例如获得“访问私有文件,私有密钥,密码,秘密,内部网络访问等”和“访问私有对话,文件等”。 。”
此外,根据该披露,恶意倾斜的黑客可能已经使他们的攻击“可蠕虫”。换句话说,如果您团队中的一个人被感染,他们的帐户将自动将该危险有效负载重新分配给所有同事。
值得强调的是,发现此漏洞的安全研究人员(该过程需要花费大量时间,而且是笔直的工作)决定采取许多人认为正确的事情,然后通过HackerOne报告给Slack。对于安全研究人员来说,其HackerOne处理程序是oskars, 这将导致$ 1,750的错误赏金。
当然,如果那个人想要的话,他们可能通过将其出售给第三方漏洞利用经纪人而获得了更多,更多的钱。像Zerodium这样的公司为零日攻击提供了数百万美元,然后将这些攻击卖给了政府。
计算机安全社区的成员很快指出了这种重要漏洞的相对微不足道的支出。
通过所有这些努力,他们获得了1750美元的
一百七十美元奖金。@SlackHQ首先,缺陷是一个相当大的问题,我的意思是验证很困难,但是请继续,然后付款。
政府是否应该要求公司支付更多的错误赏金?
Slack是一家价值200亿美元的公司,其Bug赏金计划的一部分为RCE支付了1750美元。
如果研究人员将其出售给一家私人公司,他将赚取数万美元。
-阿隆·加尔(Aunder Gal)(突破之下)(@UnderTheBreach)2020年8月29日
惊人的报告。太糟糕了,据报道是通过H1。勒芒被偷走了https://t.co/wFShyrKKMr
-Dominik Penner