Tiimiviestintäsovellus Slackista on paljastunut kriittinen turvallisuusaukko. Se on jo tukittu, mutta jälkiporu nousi yhtiön kitsaasta palkkiosta aukon löytäjälle.

Työpöytäsovellusversion käyttäjien turvallisuutta uhannut aukko tuli yhtiö tietoon tammikuussa HackerOne-palvelun kautta. Buginmetsästäjät raportoivat palvelun kautta ongelmista yrityksille ja kuittaavat ensimmäiselle löytäjälle luvattuja palkkioita. Reikä paikattiin vauhdilla jo helmikuussa.

Kyse oli Mashablen mukaan aukosta, jonka kautta hyökkääjä olisi voinut vakoilla käyttäjien tietoja heidän tietokoneeltaan tai ajaa haitallista koodia tietokoneilla. Aukkoa olisi voinut hyödyntää myös matotyyppisen haittaohjelman tekemiseen, joka olisi levinnyt käyttäjältä toiselle.

Näin vaarallisen ongelman paljastamisesta Slack maksoi HackeOne-käyttäjä oskarsille 1750 dollaria. Tämän tultua esille turvallisuushakkeriyhteisö arvosteli Twitterissä Slackia naurettavan pienestä vaivanpalkasta.

Jos saman aukon olisi löytänyt pahantahtoinen henkilö, olisi seuraukset yritykselle olleet hyvin kalliit. Löytäjä olisi voinut myydä aukon tiedot myös Zerodiumin kaltaisille yritykselle, joka myy paikkaamattomia niin kutsuttuja nollapäivähaavoittuvuuksia valtioin rahoittamille toimijoille moninkertaisilla summilla. Zerodium on luvannut jopa miljoonien palkkioita puhelinkäyttöjärjestelmien aukoista.

Slackin viestinnästä kommentoitiin, että ”bugipalkkio-ohjelmamme on kriittisessä asemassa Slackin turvallisena pitämisessä”. Hänen mukaansa yhtiö arvostaa turvallisuus- ja sovelluskehittäjäyhteisöä ja että yhtiö tarkistaa jatkuvasti palkkiokäytäntöjään, jotta heidän työnsä tulisi tunnustetuksi.

Palkkiosummat näyttävätkin nousseen sitten alkuvuoden. Nykyisin haitallisen koodin ajamisen mahdollistavan bugin löytäjälle Slack lupaa maksaa harkinnan mukaan 5000 dollaria tai enemmänkin.