根据科技媒体CbyerScoop的报道,漏洞通报及奖励平台HackerOne最近把投票程序Voatz请出了该平台,原因是Voatz与该平台的安全社群发生了冲突,而这也是成立8年的HackerOne,头一次把客户踢出门。
几名麻省理工学院(MIT)的研究人员在日前公布一报告,指称Voatz投票程序含有多个安全漏洞,将允许黑客窥探、拦截并篡改投票结果,并建议未来在打造投票程序时应该要小心为上。
而Voatz则回应,MIT的研究采用了非常旧的版本,并未被实际应用在选举活动中,也从未能连接到Voatz服务器,该研究所得出的结论,都是基于他们捏造可连接至Voatz服务器的想象。Voatz也说自家程序曾在9个小型的选举活动上进行测试,并无传出任何安全问题。
除此之外,Voatz也批评MIT的研究未经测试,还说研究人员的建议是恶意的。
然而,安全企业Trail of Bits却发现,MIT研究人员所披露的是真实存在的漏洞,而且该公司总计找出了Voatz程序的79个漏洞,其中有高达三分之一属于严重漏洞。
另外,Voatz变更了该公司在HackerOne上的政策,指出无法替访问该公司选举系统的白帽黑客提供法律上的保障;使得研究人员批评Voatz的漏洞挖掘奖励方案只是营销手段,而非真的想与安全社群创建关系,因为该政策等于是限制了研究人员可访问及漏洞挖掘的范围。
对于结束与Voatz的关系,HackerOne表示,该平台优先考虑那些与安全社群诚心交互,同时提供适当访问权限的组织合作,在评估Voatz与社群的交互模式之后,决定终止与Voatz的项目。
至于Voatz则说,这是因为有少数研究人员造谣说该公司向FBI举报了一名研究人员,但并无此事。未来该公司将会自行推出漏洞挖掘奖励项目。