Slack及其幾十個桌面應用程序剛剛躲過一劫。這款被記者、科技工作者和D&D愛好者廣泛使用的通訊工具本週五披露了一個“關鍵漏洞”，允許黑客在用戶電腦上肆意妄為。這個安全漏洞並不是由Slack的內部安全團隊發現的，而是由第三方安全研究人員報告的，在1月份通過漏洞賞金平台HackerOne報告的。

該漏洞被稱之為“遠程代碼執行”，在Slack修復之前，使用該漏洞的攻擊者可以做一些非常瘋狂的事情，比如獲得”對私人文件、私鑰、密碼、秘密、內部網絡訪問等的訪問權”，以及”對Slack內部私人對話、文件等的訪問權”。

更為重要的是，根據披露的細節有惡意傾向的黑客可能會讓他們的攻擊變得“wormable”。也就是說，如果你團隊中的一個人被感染了，他們的賬戶會自動將該危險的有效載荷重新分享給所有同事。

值得強調的是，發現這個漏洞的安全研究人員決定做一個很多人認為正確的事情，通過HackerOne向Slack報告。對於這位安全研究人員來說，他的HackerOne 賬號是oskars，這讓他獲得了1750 美元的漏洞賞金。

當然，如果那個人願意，他們很可能通過把它賣給第三方漏洞中介，得到更多更多的錢。像Zerodium這樣的公司，出價數百萬美元購買零日漏洞，再把這些漏洞賣給政府。

外媒聯繫了Slack，試圖確定它是如何決定其bug賞金的規模，以及它是否對安全社區成員提出的批評有回應。對此，該公司發言人回答說，Slack為bug賞金支付的金額並非一成不變。

“我們的bug賞金計劃對於維護Slack的安全至關重要，”該發言人在部分內容中寫道。”我們非常重視安全和開發者社區的貢獻，我們將繼續審查我們的支付規模，以確保我們認可他們的工作並為客戶創造價值。”