从那以后第一次hackerone- 一个使用“道德黑客”来查找和修复企业和组织安全外围的可剥削漏洞的漏洞式托管平台 - 启动了,它最近立即从其平台上解雇了一家供应商沃兹在与安全调查人员打交道时,其态度有点过于激进,甚至是“敌对的”。
尽管生物识别更新有报告。
“在评估了Voatz与研究社区的互动模式之后,我们决定在Hackerone平台上终止该计划,” Hackerone发言人告诉 网络库,指出:“我们[只有]与组织优先考虑对安全研究人员社区并提供足够与研究人员进行测试的组织合作。”
Voatz将Hackerone的决定归咎于“一小群研究人员,他们与社区的其他一些成员一起相信Voatz向FBI报告了一名研究人员,Voatz否认了这一点。
Voatz说:“我们坚定地致力于继续与协作研究人员一起测试平台的安全性。” “我们很快将启动一个新的公共漏洞赏金计划,任何研究人员都可以使用。”该公司提供了6,000美元的奖励,以查找和修复通过Hackerone和其他手段发现的任何错误。
就在几周前,生物识别更新 报告,BITS的痕迹对Voatz平台进行了第一个“白框”安全评估,并访问了Voatz Core Server和后端软件,并评估了“确认MIT和其他人在先前报告中标记的问题,发现了更多,并提出了解决问题并防止错误损害投票安全性的问题。”
在报告中Voatz安全评估II II卷:技术发现,为Tusk慈善事业和Voatz做准备,一小段痕迹说:“我们的安全审查结果是79个调查结果。三分之一的发现是高度严重性,另一个中等严重性,其余的则是低,不确定和信息严重性的组合。”
但是,在八月,生物识别更新 报告根据Tusk慈善事业的说法,使用生物识别Voatz应用程序进行投票的第三方审计是由国家网络安全中心和丹佛选举部门进行的,并透露,通过Voatz的区块链进行了投票,并准确记录了通过Voatz区块链进行的投票。
斯坦福大学道德黑客杰克·凯布尔(Jack Cable)报道说,他说他在Voatz的应用程序中通过Hackerone的平台发现了一个脆弱性,但Voatz的回应是,这并不是一个严重的问题。另一方面,钻头确实发现了其报告中有效的安全问题。
Voatz告诉网络库曝光并不是关键,因为它没有“用于我们进行的任何积极的政府选举”。
The Voatz platform allows voters to cast ballots from any geographic location on supported mobile devices, but its mobile voting platform has been “under increasing public scrutiny for security vulnerabilities that could potentially invalidate an election,” Trail of Bits said, adding that “the issues are serious enough to attract inquiries from the Department of Homeland Security [DHS] and Congress. However, there has been no comprehensive security report to provide details of the Voatz vulnerabilities and为了修复它们的建议 - 到目前为止。”
根据Voatz的说法,DHS的网络安全部门正在继续审查其应用程序。到目前为止,DHS一直对其发现一直是妈妈。
生物识别更新之前报告这是关于总部位于波士顿Voatz的区块链投票应用程序的安全性的广泛争议,这是美国联邦大选中使用的第一个基于互联网的投票应用程序,特别是对于国外的军事成员和缺席的选民,在他们的论文中,他们的论文团队在他们的论文中受到了质疑,他们的研究受到了质疑。Voatz的安全分析,这是美国联邦选举中使用的第一个互联网投票申请,他们声称Voatz的区块链投票应用程序具有“易受不同类型的对手可以更改,停止或揭露用户的投票,包括侧向渠道攻击,其中完全被动的网络对手可以恢复用户的秘密投票,”,“ Voatz源于他们的第三派对功能。
Hackerone在陈述中说,其判断是基于Voatz攻击在公司投票应用程序中发现缺陷的麻省理工学院研究人员的动机。
但是,沃茨与黑客龙的关系迅速恶化,并在Voatz时从煮熟到完全沸腾的努力。更新它在Hackerone网站上的政策。基于该更新,Hackerone指出,对于访问Voatz实时选举系统的任何人来说,它不再可以“保证安全港”。
非营利性公民的首席技术专家凯文·斯科格隆德(Kevin Skoglund)说:“ Voatz的Bug Bounty更像是一个公关谈话点,而不是真正与安全社区互动的尝试。” “他们最终限制了范围和安全港的规定,从而阻碍了研究人员查找和报告该应用程序许多真正缺陷的能力。”
在它的Voatz安全问题披露政策该公司表示:“我们的选举基础设施的安全对于我们民主的完整性至关重要。因此,我们重视安全研究人员真诚地行事以帮助我们维持系统安全的高标准的安全性,这又使所有选民对我们的选举过程的信心充满信心。这包括鼓励人们对良好的宣传和披露的态度。您可以在良好的范围内进行评估。 返回。”
Voatz继续说:“我们更新了安全港的保护措施,使其与行业标准保持一致。” “我们添加了更多的内容和清晰度,以避免任何沟通不畅和虚假标志。我们的范围是遵守我们的内部测试周期,并在今年剩余时间内适应了激烈的第三方审计时间表。”
在麻省理工学院研究人员上个月报告了Voatz应用程序中的漏洞之后,他们说可以利用“更改,停止或揭露用户的投票”,Voatz高管拒绝了这些发现是有缺陷的。他们指责研究人员以“恶意”行事,并成为“拆除任何在线投票飞行员的系统努力”的一部分。 Voatz说,如果麻省理工学院的研究人员经历了现在已停产的黑客漏洞赏金程序,他们可以测试该应用程序的更新版本。
在它的公告关于Hackerone,Voatz说:“根据此政策与我们合作时,您可以期望我们:”
•始终将民主进程的完整性作为我们的使命至关重要。
•扩展与本政策相关的问题 /漏洞研究的安全港。
•与您合作以了解和验证您的报告,包括对提交的及时初步回应。
•努力在我们的预算和运营限制内解决已发现的问题 /漏洞。
•认识到您对改善我们的安全性的贡献,修复后以及我们选择的时候,如果您是第一个报告唯一问题 /漏洞的人,以及您的报告是否会触发代码或配置更改。
该公司补充说:“在您的允许下,我们将透露您与其他安全研究人员发现的未解决问题,以协助他们的测试,以避免不必要的努力重复。”
