У Slack знайшли критичні вразливості що дозволяли дистанційно захопити комп'ютери користувачів. Їх помітив сторонній дослідник на платформі HackerOne, він повідомив про це компанії — та отримав лише 1750 доларів винагороди.
Завдяки цим вразливостям можна було завантажити шкідливий файл, легко поширити його в різних каналах і запустити експлойт у застосунках користувачів. Йдеться про дистанційне виконання коду, доступ до особистих файлів, ключів, паролів, повідомлень тощо.
Ба більше, зловмисники могли б зробити так, щоб атака поширювалась автоматично. Якщо, наприклад, один учасник команди був би уражений, він міг заразити й усіх колег.
Дослідник повідомив про це у Slack ще взимку — і вразливість виправили. Однак спільноту обурив досить мізерний гонорар за таку роботу. Імовірно, що дослідник міг би отримати значно більше грошей, якби звернувся до посередників. Адже деякі компанії пропонують до мільйона доларів за інформацію про експлойти, яку вони продають урядам.
Цікаво, що після цієї історії Slack збільшив винагороди за виявлення вразливостей, котрі дозволяють дистанційне виконання коду. Зараз це коштує від 5000 доларів — тож варто сподіватися, що такої суми вистачить для дослідників у майбутньому.
Ще немає коментарів