Виборчий додаток Voatz щойно виключили з великої програми винагород за помилки

Платформа винагород за помилки HackerOne розірвала відносини з Voatz, що підтримується Medici Ventures, мобільним додатком для голосування на основі блокчейну, за порушення стандартів партнерства.

Видалення обрізає доступ Voatz до мережі «етичних хакерів» HackerOne, які обмінюють свій досвід у пошуку помилок коду на гроші. HackerOne співпрацює з корпораціями, зацікавленими у збереженні потенційних вразливостей безпеки. Проте за 1800 стосунків і вісім років він ніколи раніше не виганяв партнера, сказала представник Саманта Шпільман.

Вперше цю новину оприлюднив у понеділок CyberScoop.

Шпільман сказав, що порушення Voatz «стандартів партнерства» зробило відносини нежиттєздатними, незважаючи на минулі успіхи програми полювання на помилки.

«Як платформа ми невпинно працюємо над тим, щоб розвивати взаємовигідні відносини між командами безпеки та спільнотою дослідників», — сказала вона. Шпільман відмовився уточнювати порушення стандартів Voatz.

Воатц сказав CoinDesk у своїй заяві, що шкодує про «тимчасову паузу» у відносинах. У ньому сказано, що HackerOne піддався «невеликій групі дослідників, які разом із кількома іншими членами спільноти вважають, що Воатц повідомив про дослідника в ФБР».

«Ця брехня та дезінформація стали джерелом ворожості до Voatz та наших партнерів, які стикаються з постійними нападками з боку цих дослідників», — йдеться в заяві.

Державний секретар Західної Вірджинії Мак Уорнер заявив у жовтні 2019 року, що Федеральне бюро розслідувань було розслідування спроби порушення програми під час пілотної програми в 2018 році. Західна Вірджинія використовувала програму в кількох пілотних проектах, і Warner стверджує, що на сьогодні жодне голосування не було змінено.

Скелястий рік

Voatz потрапив у центр уваги в середині лютого, коли група дослідників MIT випустив різкий опис, у якому висвітлюється безліч очевидних недоліків безпеки в програмі. Вони стверджували, що Voatz по суті був безглуздим, критикували його прозорість і закликали представників виборчих органів, які вважали, що додаток може подумати двічі.

Voatz відповів власною критикою. З сарказмом Прес-реліз від 13 лютого, він назвав звіт дослідників несправедливим, а їхні «недобросовісні рекомендації» — непоправно помилковими.

Однак на початку цього місяця Trail of Bits опублікував звіт підтверджуючи твердження дослідників MIT. Voatz доручив Trail of Bits проаналізувати свою платформу.

Voatz почав співпрацювати з HackerOne у серпні 2018 року і з того часу виплатив понад 6000 доларів дослідникам через «HackerOne та інші способи». Він планує оголосити про свою власну програму баунті «найближчими днями».

Західна Вірджинія впав його партнерство з компанією.