Google 誇讚研究員「發現好漏洞」後卻拒絕支付漏洞賞金,至今仍未修復該缺陷
資安研究員 Justin O'Leary 向 Google 回報 Config Connector 權限提升漏洞,Google 起初以高優先、高嚴重性漏洞接受回報,甚至稱讚「發現得好」,卻事後反口宣稱此行為「符合預期設計」,拒絕支付漏洞賞金,且該漏洞至今仍未修復。

文章重點
- 資安研究員 Justin O'Leary 向 Google 回報 Config Connector 權限提升漏洞,起初獲評為高優先、高嚴重性漏洞。
- Google 代表起初以「Nice catch!」稱讚 O'Leary 的回報,隨後卻反口宣稱該行為「符合預期設計」,拒絕承認漏洞存在。
- Google 以不存在漏洞為由,拒絕支付任何漏洞賞金(Bug Bounty),也未進行修復。
- 該漏洞回報在 Google 內部系統中仍標記為高優先級,與官方對外說法相互矛盾。
- 事件引發資安社群對科技巨頭 Bug Bounty 計畫公正性與透明度的廣泛討論。
Google 誇讚研究員「發現好漏洞」後卻拒絕支付漏洞賞金,至今仍未修復該缺陷
資安研究員 Justin O'Leary 披露了一段令人不解的經歷:他向 Google 回報一個存在於 Config Connector 中的權限提升(privilege-escalation)漏洞,Google 起初不僅以高優先級、高嚴重性(high-priority, high-severity)漏洞的標準受理,負責接洽的 Google 代表更以「Nice catch!(發現得好!)」稱讚他的回報。
然而,Google 隨後卻出爾反爾,改口宣稱該行為屬於「working as intended(符合預期設計)」,認定漏洞並不存在,因此既不進行修復,也不予以任何賞金獎勵。
根據科技媒體 The Register 的報導,儘管 Google 官方立場已改變,該漏洞回報在系統內部仍被標記為高優先級狀態,顯示 Google 內部處理與對外說法之間存在明顯矛盾。
此事件再度引發資安社群對科技巨頭漏洞賞金計畫(Bug Bounty Program)公正性的質疑,研究人員投入時間與精力回報漏洞,卻可能因企業單方面改變認定標準而血本無歸。
目前 Google 尚未公開回應此事,該 Config Connector 漏洞是否會在未來獲得修復,也仍是未知數。
原文來源: 查看原文
常見問題
Newsletter
訂閱低空產業電子報
每日精選低空經濟與無人機產業新聞,直送您的信箱。
本文由 LAETimes 編輯部審核發佈 ·


