在俄烏衝突於 2 月下旬爆發后,許多西方國家都頒布了針對俄羅斯的制裁令。然而漏洞賞金平台 HackerOne 的做法,卻讓不少烏克蘭安全研究人員也感到寒心。多位烏克蘭黑客與研究人員在 Twitter 上控訴,HackerOne 正在阻止他們提取漏洞賞金,甚至有人被截留了數千美元。
由 HackerOne 支持代表發給安全研究員 Vladimir Metnew 的一封電子郵件可知:“如果你身處烏克蘭、俄羅斯、或白羅斯,那當前所有的通信和交易都將被暫緩”。
讓人無語的是,儘管Metnew 是一位正在歐盟地區的烏克蘭人,他的賬戶還是被該漏洞賞金平台給凍結了 ——“我們推測他們阻止了所有註冊地為烏克蘭的研究人員的提款”。
據悉,HackerOne 旨在構建一座橋樑,讓發現和上報安全漏洞的黑客與安全研究人員,能夠與尋求修復其產品和服務的公司實現更好的溝通。
參考 2020 年的數據,HackerOne 共向研究人員支付了超過 1.07 億美元的漏洞賞金。隨着安全社區的日漸成熟,不少人也將這項工作當做了主要收入來源。
仍然身處烏克蘭的許多其他研究人員,也彙報了類似的情況 —— 要麼賬戶被凍結,要麼就是無法順利提取資金。
其中 Bob Diachenko 會定期向外媒分享調查結果,然而從 2 月到現在,他賬戶中的 3000 美元收入一直無法到手。
在缺乏官方溝通渠道的情況下,HackerOne 此舉已經引發了眾怒。但更讓大家感到困惑的是,該平台到底遵循着怎樣的出口管制條款?
烏克蘭黑客 @kazan71p 在一條推文中指出,儘管自己不來自受制裁的克里米亞或頓巴斯地區,但他的賬號還是被無理由地一刀切制裁了。
慶幸的是,在引發了輿論爭議之後,HackerOne 首席技術官 Alex Rice 終於出面接受了外媒的採訪,並聲稱將很快恢復賞金支付。
我們積極支持烏克蘭為自由而戰,且無意限制烏克蘭研究人員的賞金支付。對於因此造成的壓力,我們深感抱歉、並致力於盡快讓一些恢復正常。
當拜登政府宣布針對烏克蘭的兩個被佔領地區實施金融制裁時,我們立即開始努力確保不會向那裡不當地發放賞金,這導致一些研究人員的付款處理出現了延遲。
目前 HackerOne 團隊正在積極解決這一問題,如果一切順利的話,平台有望在一周內恢復所有提款處理。