《
英雄聯盟》研發商
Riot Games 近日公開「Bug 賞金計畫」,目前正處於封閉測試中。
Riot 表示,
Riot 曾忽略了《
英雄聯盟》網站的一個不起眼的弱點,如果駭客夠聰明的話,將可以竊取其他玩家的身分、在論壇上冒充其他玩家甚至進行網路詐騙的工作,而一名來自澳洲雪梨的 24 歲安全研究者 Jamieson O’Reilly 發現了這個問題,他將他的發現透過
Riot 的整體問題信箱寄給了
Riot,直到一個星期過後,這封信才到達可以處理這個問題的
Riot 安全團隊一名人士手中,雖然這個問題最後被解決了,但
Riot 承認這個問題處理其實應該可以做得更好。
為了改善從回報系統問題到
Riot 應對處理的過程與時間等問題,
Riot 啟動了「Bug 賞金計畫」,從 2013 年 4 月開始啟動封閉測試,由少數經過
Riot 確認的安全專業人員來參與,這些專業人員幫助他們發現超過 75 個 Bug 或問題,包括客戶端、視覺相關漏洞,或者是影響玩家在論壇行動的問題等。
Riot 至今已經支付 10 萬美元給這些受邀參與測試專業人員。
Bug 賞金計畫的執行過程主要是當研究人員發現新的或是嚴重的安全問題時,可以到
Riot 的 HackerOne 網頁提交他們的發現,這將有可能換取到現金,他們有設定如何取得賞金的一定規則(例如不能去攻擊其他玩家及其帳號),若是符合資格就可以獲得賞金。
Riot 甚至可以在確認問題、更新的 24 小時內提供賞金給發現的安全人員。
Riot 表示,在他們擴大這項計畫之前,他們需要建立基本的流程,讓旗下安全團隊可以有效處理來自各領域的報告,然後將這些報告內容可以轉化為研發團隊所需要處理的 Bug。他們期待有一天,整個社群都可以加入發現 Bug 的行列,但在此之前,若是有人發現任何嚴重的安全問題,也可以向 soc@
riotgames.com 信箱來告知。
延伸報導
