Voatz Bug Bounty启动了HackerOne平台

漏洞赏金和漏洞披露平台HackerOne首次将公司从其平台上撤下，这是其历史上的第一次。

当被问及支持区块链的移动投票应用程序的安全性时，基于区块链的投票平台Voatz长期以来一直通过HackerOne宣传其漏洞赏金计划。

HackerOne成立于2012年，将业务与笔测试人员和网络安全研究人员联系在一起。它已经托管了1,800多个客户程序，但是这家饱受折磨的马萨诸塞州公司的bug赏金不再是其中之一。

HackerOne发言人萨曼莎·斯皮尔曼（Samantha Spielman）告诉Cointelegraph：“作为一个平台，我们孜孜不倦地致力于促进安全团队与研究人员社区之间的互惠关系。我们与那些优先考虑对安全研究人员社区真诚行事并提供充足访问权限的组织合作给研究人员进行测试。由于Voatz计划不符合上述任何一项要求，因此我们于2020年3月终止了我们的合作伙伴关系。”

Voatz发言人在一份声明中将HackerOne决定将其从平台上启动的决定归因于“来自一小群研究人员的压力”，他们“相信Voatz向FBI报告了一名研究人员”。实际上，Voatz向该司法辖区报告了该学生，然后将该司法辖区报告给了FBI。

在一名学生安全研究人员被美国联邦调查局（FBI）指控该公司进行的入侵尝试之后，沃茨面临批评。尽管该研究似乎已受到该公司漏洞悬赏计划中安全港声明的保护。在FBI的转介成为头条新闻之后，Voatz追溯更新了其HackerOne错误赏金计划条款，以缩小其安全港政策的范围，因此尚不清楚其是否提供全面的法律保护。

“在整个安全团队，黑客和平台之间的漏洞赏金模型中，信任至关重要。一旦信任破裂，就很难重建。尽管Voatz可以通过其漏洞赏金计划浮出水面并解决漏洞，但该计划对任何一方都不再有效。” Spielman说。

独立安全研究人员和狂热的赏金猎人杰克·凯布尔（Jack Cable）表示，沃特兹甚至无法确认他提交的两次赏金报告。在一个实例中，他发现了一个漏洞-Voatz在其应用程序中存储了Stack Overflow的私钥-Voatz表示该漏洞在选举过程中没有作用。但是，Trail of Bits进行的安全审核表明，该功能已在某些功能中使用，并被列为高安全性漏洞。

“在很多情况下，他们试图轻描淡写某件事情的严重性，或者不太清楚这是否是一个漏洞。总体而言，这并不是非常有成效的体验，” Cable说。

Cable还发现，在测试应用程序时，他的IP地址被阻止了，尽管他说目前尚不清楚这是否是自动的。他说：“有几次测试，由于我的IP地址被阻止，我甚至无法在他们的暂存环境中工作。”

麻省理工学院的研究人员发现了Voatz的严重安全漏洞后，发现许多漏洞只要经过漏洞赏金计划就不会涵盖。相反，他们通过了CISA。研究人员在“常见问题”中写道：“我们希望这项研究能为自己辩护，并对沃茨对先前的独立安全研究的不专业回应表示法律上的担忧，正如许多新闻媒体所记录的那样。”

Cable指出了Voatz对整个安全研究的普遍敌视。 Voatz否认了MIT报告中描述的安全漏洞，即使它聘请的审计公司Trail of Bits确认了该漏洞。他说：“一方面，他们说，‘来告诉我们您所发现的漏洞。’但是当人们真正发现漏洞时，他们否认它们甚至存在。”

“他们显然不接受安全研究。一旦公司开始越界，HackerOne不仅有责任保护其客户，而且还应保护其平台上的黑客。我认为HackerOne必须采取行动，所以我很高兴他们在这种情况下做到了。”

Voatz表示计划在未来几天内宣布一项全面的漏洞赏金计划。

—-

原文链接：https://cointelegraph.com/news/voatz-bug-bounty-kicked-off-of-hackerone-platform

原文作者：Cointelegraph By Yael Grauer

编译者/作者：wanbizu AI

玩币族申明：玩币族作为开放的资讯翻译/分享平台，所提供的所有资讯仅代表作者个人观点，与玩币族平台立场无关，且不构成任何投资理财建议。文章版权归原作者所有。