Slack修补远端程式攻击漏洞，只付1,750美元惹争议

Slack在今年修补了一个远端程式攻击漏洞，受到外界注意的不仅是该漏洞极其危险，还加上Slack只支付了1,750美元予发现该漏洞的研究人员，让其他研究人员纷纷替其抱不平。

代号为oskars的研究人员是透过HackerOne平台提交漏洞予Slack，根据说明，骇客只要利用程式内的重新定向至 logic/open重新定向，或者是HTML或javascript注射，就能于桌面版Slack程式中执行任意程式，而且同时危及Windows、macOS与Linux平台。

成功的攻击不仅允许骇客取得Slack用户的私有档案、私钥、密码或内部网络存取权，骇客也可注入蠕虫式的酬载，让任何点选该酬载的团队成员一并被感染。

HackerOne在Slack修补该漏洞之后公开了漏洞细节，显示该漏洞被列为重大（Critical）风险等级，且oskars获得了1,750美元的奖金。

同样身为白帽骇客的Daniel Cuthbert很快就跳出来替oskars抱不平，指出一个数千万人使用的协作平台，竟然只付1,750美元给揭露重大漏洞的研究人员，oskars大可把该漏洞出售给exploit.in等悬赏重大漏洞的第三方业者，呼吁Slack应该制定更合理的奖励金额。

另一位资安研究人员Alon Gal也说，倘若oskars把该漏洞卖给其它业者，应该至少可赚进数万美元，-也许应该规定企业应该支付更高的漏洞奖励金额。

以专门对外悬赏零时差漏洞的Zerodium为例，若为路由器、vBulletin、Joomla或Drupal的远端程式攻击漏洞，最高价码为1万美元，若是更热门的程式，像是Adobe PDF、WinRAR或7-Zip的远端程式攻击漏洞，最高价码则是8万美元。

Mashable也向Slack询问，得到发言人制式的回应而没有针对这起争议说明，Slack表示，该公司非常重视资安社群的贡献，将会继续检讨其抓漏奖励的支付规模，以表达他们对研究人员的认同。