聚焦源代码安全,网罗国内外最新资讯!
编译:360代码卫士团队
上周,瑞士政府宣布推出针对电子投票系统的公开漏洞奖励计划,赏金最高达5万美元。
瑞士早在2004年就开始尝试电子投票形式,该国的邮政服务“瑞士邮政”当前认为已开发出完全可经验证的系统,从而在全国范围内推行电子投票方式。
虽然电子投票系统的安全正在交由某“已认证机构”测试,不过瑞士邮政也向全球黑客推出漏洞奖励计划。白帽黑客可注册onlinevote-pit.ch,且在2月25日至3月24日期间有机会对该电子投票系统的前端和后端进行渗透测试。
瑞士政府对此漏洞奖励计划的拨款是25万美元,并称之为公开入侵计划(PIT)。其中10万美元将奖励给协助运行该奖励计划的瑞士网络安全公司SCRT,其余赏金将颁发给找到漏洞的研究人员。
如果研究人员找到的漏洞可被用于操纵选票且未被选民和审查人员发现,则可获得3万至5万美元的奖励。如果所使用的操纵方法是可被检测到的,则可获得2万美元的奖励。
服务器端的缺陷如果可导致攻击者找到选民的身份以及所投选票,则可为研究人员赢得最高1万美元的奖励,而选票损坏问题可获得最高5000美元的奖励。研究人员可获得的最少奖励金是100美元,针对的是服务器配置弱点。参与人员可公开自己的研究成果。
这个电子投票系统的源代码已公开发布,不过瑞士邮政指出,研究人员必须单独提交源代码中的漏洞,前提是这些漏洞无法用于攻击测试系统。
这项漏洞奖励计划向所有人开放,目前注册人员已超过1000人,他们主要来自瑞士(30%)、法国(17%)、美国(5%)、德国(5%)和加拿大(4%)。不过,值得注意的是,该电子选票系统仅涵盖德语、法语、意大利语和罗马尼亚语,并不包括英语版本。
瑞士的电子投票系统涉及通过邮政服务接收的选票卡。这些卡片包含需要在网上投票的数据。参与PIT项目的研究人员也可使用这些投票卡进行测试,不过他们将收到电子格式而非纸质投票卡。
https://www.securityweek.com/switzerland-launches-bug-bounty-program-e-voting-systems
领取专属 10元无门槛券
私享最新 技术干货