Приложение Voatz для выборов только что исключили из крупной программы по поиску уязвимостей

Платформа вознаграждений за обнаружение уязвимостей HackerOne разорвала отношения с поддерживаемым Medici Ventures Voatz, мобильным приложением для голосования на основе блокчейна, из-за нарушения стандартов партнерства.

Удаление лишает Voatz доступа к сети «этичных хакеров» HackerOne, которые обменивают свои знания в поиске ошибок кода на деньги. HackerOne сотрудничает с корпорациями, заинтересованными в укреплении потенциальных уязвимостей безопасности. Однако за 1800 отношений и восемь лет компания никогда не выгоняла партнера, сказала представитель Саманта Шпильман.

Эту новость впервые сообщил в понедельникКиберСкуп.

Спилман заявил, что нарушение Воатцем «стандартов партнерства» сделало отношения нежизнеспособными, несмотря на прошлые успехи программы в охоте за ошибками.

«Как платформа, мы неустанно работаем над тем, чтобы способствовать взаимовыгодным отношениям между командами по безопасности и исследовательским сообществом», — сказала она. Спилман отказался вдаваться в подробности о нарушении стандартов Voatz.

В заявлении для CoinDesk Воатц сообщил, что сожалеет о «временной паузе» в отношениях. Он сообщил, что HackerOne уступил «небольшой группе исследователей, которые, наряду с несколькими другими членами сообщества, считают, что Воатц сообщил об исследователе в ФБР».

«Эта ложь и дезинформация стали источником враждебности по отношению к Воатцу и нашим партнерам, которые подвергаются постоянным нападкам со стороны этих исследователей», — говорится в заявлении.

Государственный секретарь Западной Вирджинии Мак Уорнер заявил в октябре 2019 года, что Федеральное бюро расследований...расследование попытки нарушенияприложения во время пилотной программы в 2018 году. Западная Вирджиния использовала приложение в нескольких пилотных проектах, и Уорнер утверждает, что на сегодняшний день ни одно голосование не было изменено.

Непростой год

Воатц оказался в центре внимания в середине февраля, когдагруппа исследователей Массачусетского технологического институтавыпустили уничтожающую статью, в которой указали на множество очевидных недостатков безопасности в приложении. Они утверждали, что Voatz по сути является чепухой, критиковали его прозрачность и призывали должностных лиц избирательной комиссии, рассматривающих приложение, подумать дважды.

Voatz ответил своей собственной критикой. В сарказмеПресс-релиз от 13 февраля, он назвал отчет исследователей несправедливым, а их «недобросовестные рекомендации» непоправимо ошибочными.

Однако в начале этого месяца Trail of Bitsопубликовал отчетподтверждая заявления исследователей MIT. Voatz поручил Trail of Bits проанализировать свою платформу.

Voatz начал работать с HackerOne в августе 2018 года и с тех пор выплатил исследователям более $6000 через «HackerOne и другие каналы». Компания планирует объявить о собственной программе вознаграждений «в ближайшие дни».

Западная Вирджинияупалего партнерство с компанией.