Talkspace要就錯(cuò)誤報(bào)告起訴安全研究人員

一位安全研究人員說(shuō)，在公司拒絕了他的調(diào)查結(jié)果并向研究人員發(fā)出了法律威脅后，他被迫記下了一篇博客文章，其中描述了Talkpace網(wǎng)站上一個(gè)明顯的錯(cuò)誤，給了他一年的免費(fèi)訂閱。

約翰·杰克遜(John Jackson)表示，他能夠注冊(cè)Talkpace這一受歡迎的治療應(yīng)用程序，就好像他是一家醫(yī)療保險(xiǎn)計(jì)劃涵蓋Talkpace服務(wù)的公司的員工一樣。 其中一些注冊(cè)鏈接在谷歌搜索結(jié)果中找到，其中一些沒有在該公司的網(wǎng)站上發(fā)布廣告。

但杰克遜說(shuō)，他幾乎沒有發(fā)現(xiàn)任何證據(jù)表明注冊(cè)頁(yè)面可以證明用戶有資格免費(fèi)訂閱一年。

杰克遜通過(guò)建立一個(gè)賬戶來(lái)驗(yàn)證他的理論。 一個(gè)月后，賬戶仍然活躍，他說(shuō)。

杰克遜的案例只是安全研究人員因其工作面臨法律威脅的最新例子。 幾個(gè)月前，航空航天安全研究人員克里斯·庫(kù)貝卡(ChrisKubecka)表示，她在飛機(jī)上發(fā)現(xiàn)了一個(gè)安全問(wèn)題后，受到波音公司的威脅。 兩名安全研究人員去年也被起訴，聲稱他們超越了他們?cè)趷酆扇A州法院的滲透測(cè)試極限。 這個(gè)案子后來(lái)被撤銷了。

talkpace不能為安全研究人員提供提交錯(cuò)誤的方法。 在TechCrunch的幫助下，研究人員聯(lián)系了Talkpace，警告潛在的錯(cuò)誤，擔(dān)心惡意黑客或用戶可能濫用系統(tǒng)并聲稱免費(fèi)治療。 但該公司拒絕了這一說(shuō)法，告訴杰克遜，它“有多個(gè)內(nèi)部程序來(lái)保護(hù)免受虐待”，但沒有提供具體細(xì)節(jié)。

在杰克遜在他的博客上發(fā)表他的研究結(jié)果——TechCrunch已經(jīng)看到了——幾個(gè)小時(shí)后，Talkpace向杰克遜發(fā)出了一封停止和停止的信，指責(zé)研究人員在他的博客文章中“散布謊言”來(lái)誹謗Talkpace。

“在任何情況下，Talkpace都不會(huì)向企業(yè)合作伙伴收取費(fèi)用，也不會(huì)向未被該合作伙伴視為符合條件的用戶提供服務(wù)的健康計(jì)劃收取費(fèi)用。

“這封信是一封正式通知，要求停止和停止，并立即撤回這些聲明，澄清你公然和破壞性的錯(cuò)誤陳述，”信中說(shuō)。 “不這樣做將導(dǎo)致進(jìn)一步和立即的法律行動(dòng)。

Talkpace的首席技術(shù)官Gil Margolin說(shuō)，當(dāng)達(dá)成協(xié)議時(shí)，Talkpace不會(huì)在記錄上說(shuō)明其反欺詐機(jī)制是什么，或者發(fā)現(xiàn)了多少欺詐事件，而只會(huì)說(shuō)注冊(cè)計(jì)劃是“根據(jù)每個(gè)合作伙伴的個(gè)人目標(biāo)與他們合作設(shè)計(jì)的”。

我們已經(jīng)發(fā)表了停止和停止信。 這封信沒有提到杰克遜在博客上的技術(shù)聲明。

當(dāng)達(dá)成協(xié)議時(shí)，Talkpace發(fā)言人喬安娜·迪·圖利奧(Jo Anna Di Tullio)推遲了對(duì)雷利的評(píng)論，雷利重復(fù)了他信中的說(shuō)法，稱該公司“非常清楚我們?nèi)绾螛?gòu)建雇主關(guān)系和確保獲得服務(wù)的資格”，并將杰克遜的博客帖子描述為“純粹的誹謗”和“完全不真實(shí)”。

如今，許多公司通過(guò)提供bug報(bào)告程序來(lái)接受安全研究人員，這些程序獎(jiǎng)勵(lì)或支付研究人員發(fā)現(xiàn)安全缺陷和其他可能被惡意黑客未報(bào)告和利用的bug。

其他公司，如Dropbox、Mozilla和Tesla，更進(jìn)一步地提供了“安全港”條款，承諾不對(duì)真誠(chéng)行事的研究人員采取法律行動(dòng)。