HackerOneがウクライナのハッカーへのバグ報奨金支払いを停止

ウクライナのハッカーやセキュリティ研究者によると、バグ報奨金制度プラットフォームのHackerOne(ハッカーワン)は、場合によっては数千ドル(数十万円)にもなるバグ発見・報告の報酬金を保留し、ハッカーが報酬を引き出せないようにしているという。

HackerOneのアカウントを持つ複数のハッカーや研究者は、2022年2月末のロシアのウクライナ侵攻にともなう経済制裁と輸出規制を理由に、HackerOneが支払いをブロックしているが、自分たちには制裁は適用されないとツイートしている。

HackerOneのサポート担当者がセキュリティ研究者のVladimir Metnew(ウラジミール・メットニュー)氏に送ったメールには「ウクライナ、ロシア、ベラルーシにお住まいの場合、すべての通信と取引(スワッグの発送を含む)は当分の間、一時停止されます」とあり、メットニュー氏はその文面をツイートしている。ウクライナ人だが現在は欧州連合内にいるメットニュー氏はアカウントが凍結されているとTechCrunchに語った。「ウクライナから登録した人全員への支払いをブロックしたのだと思います」と同氏は話した。

バグ報奨金プログラムを展開するHackerOneは、セキュリティバグを発見・報告するハッカーやセキュリティ研究者と、製品やサービスの修正を依頼する企業の仲介を行っている。2020年にHackerOneは1億700万ドル(約126億円)超のバグ発見報酬金を研究者に支払い、彼らの多くはその収益を収入源としている。

ウクライナに残っている他のハッカーや研究者からも「口座が凍結された」「資金を引き出せない」といった同様の状況が報告されている。発見したバグTechCrunch定期的に報じられているウクライナのセキュリティ研究者Bob Diachenko(ボブ・ディアチェンコ)氏は、2月以降の収益3000ドル(約35万円)が現在保留されているとツイートで述べた。

HackerOneからの明白な公式連絡がなく、ウクライナ人全員への支払いを止める動きは怒りと混乱をもって受け止められている。HackerOneがどのような制裁や輸出規制を指しているのかは不明だ。米国、欧州連合、その他いくつかの同盟国は、ロシアとベラルーシに対して厳しい経済制裁を科し、現在分離主義のグループが保持しているウクライナ東部のドンバス地方や、2014年にロシアに併合されたクリミアに対する禁輸措置も行っている。しかし、ウクライナはそうした制裁の対象ではない。

影響を受けているハンドルネームkazan71pのあるウクライナ人ハッカーは「クリミアやドンバス出身ではない【略】あなたはすべてのウクライナ人のアカウントを停止し、国全体を制裁下に置いただけだ」とHackerOneに言及したツイートで述べた。

HackerOneは、ウクライナのハッカーや研究者への支払いをブロックした理由や、適用されると考えている特定の制裁を引用していない。TechCrunchが本稿公開の数時間前にHackerOneに連絡を取ったところ、同社の広報担当者はすぐにコメントしたり質問に答えたりすることはできなかった。詳細が分かり次第、更新する。

アカウント凍結は、HackerOneのCEOであるMarten Mickos(マーチン・ミコス)氏が、制裁対象国、特にロシアやベラルーシに住むハッカーの収益を慈善事業に「再ルート」すると述べたた頃に実施されたようだ。同氏はツイートのスレッドでそのように発言し、そのスレッドはすでに削除されている。

xnwupというハンドルネームのあるハッカーは、HackerOneが2万5000ドル(約295万円)の収益を「私がベラルーシ市民だから」奪っていると述べた。ウクライナへの支持を表明しながらも、ベラルーシ政権に反対する発言で安全が脅かされることを恐れたこのハッカーは、自分たちの収益は「長年の努力の結果」だと語った。

ミコス氏は新しいツイートスレッドで資金のルート変更についてのコメントを撤回し、今度はハッカーの許可を得た場合にのみハッカーの報酬を寄付することを申し出た。

画像クレジット:Alexandre Dulaunoy / Flickr

原文へ

(文:Zack Whittaker、翻訳:Nariko Mizoguchi

バグバウンティ大手HackerOneが約56.6億円調達、在宅勤務によるクラウド利用増加が後押しに

バグ懸賞と侵入テストのスタートアップ、HakerOne(ハッカーワン)が4900万ドル(約56億6000万円)のシリーズEラウンドを完了した。この1年、在宅勤務の増加によってクラウド利用が急増した結果だ。

セキュリティ問題を探すハッカーと、問題を解決したい企業の間を取り持つ同社は、最近の成長について、12月のホリデーシーズンを前にインターネットを駆け巡った広く普及しているオープンソースロギングプラットフォーム、Log4j(ログフォージェイ)の欠陥をはじめすとる「ゼロデイ脆弱性」のまん延によって加速されたものだと語った。

同社は、この1年間に侵入につながっていた可能性のある重大、深刻な脆弱性を1万7000件以上発見しており、12月にLog4jバグが発見された後だけでも2000件以上の脆弱性が報告されたと語った。

HackerOneのCEOであるMarten Mickos(マーテン・ミコス)氏は、発見された攻撃の増加について、企業や政府が「これほど脅威にさらされたことはありません」と語った。

調達した資金は、研究開発および市場開拓業務の拡大に使用するつもりだと同社は言っている。

シリーズEの4900万ドルを加えて、HakcerOneの2021年設立以来の総調達額は1億6000万ドル(約184億7000万円)近くになった。ラウンドをリードしたのはGP Bullhound(GPブルハウンド)で、他に既存出資者のBenchmark(ベンチマーク)、NEA、Dragoneer Investment Group(ドラゴニア・インベストメント・グループ)、およびValor Equity Partner(ベイラー・イクイティー・パートナー)が参加した。

2012の開業以来、HackerOneは同社のバグ懸賞プログラムをさまざまな顧客に提供しており、リストには米国防省、Google(グーグル)、Dropbox(ドロップボックス)、Microsoft(マイクロソフト)、Twitter(ツイッター)の名前もある。

画像クレジット:Alexandre Dulaunoy / Flickr

原文へ

(文:Zack Whittaker、翻訳:Nob Takahashi / facebook

Twitterが「業界初」機械学習アルゴリズムの「バイアス」を対象とする報奨金コンテスト実施

Twitterが「業界初」機械学習アルゴリズムの「バイアス」を対象とする報奨金コンテスト実施、ハッカーと企業をつなぐHackerOne協力

Andrew Kelly / Reuters

Twitterが、システムが自動的に画像をクロップする際の”偏り”を発見した人に謝礼を支払う報奨金コンテストをHackerOneを通じ開始しました。報奨金と言えば、セキュリティ上の問題や処理上の不具合を発見した人に対して賞金を支払うバグバウンティ・プログラムが一般的におこなわれていますが、今回Twitterが始めたのは、ユーザーが投稿した写真をサムネイル化するため、ちょうど良い具合にクロップ(切り抜き)するアルゴリズムにどこか偏りがないかを探そうというコンテスト形式のプログラムです。

Twiiterの自動画像クロップは2018年から使われ始めましたが、一部ユーザーからはこのアルゴリズムが肌の白い人を中心にするようなバイアスがかった処理を行う傾向があると批判の声が上がっていました。

「われわれは5月に画像切り出しアルゴリズムの提供をいったん止め、認識の偏りを識別するアプローチを共有し、人々がわれわれの作業を再現できるようにするためコードを公開しました」とTwitterはブログで述べ「この作業をさらに進めて、潜在的な問題を特定するため、コミュニティに協力を仰ぎ、奨励したいと考えています」としました。

Twitterいわく、この報奨金コンテストは「業界初」のアルゴリズムのバイアスを対象とした報奨金プログラムとのこと。賞金額は最高3500ドル(約38万円)と控えめではあるものの、Twitterで機械学習倫理および透明性・説明責任チームのディレクターを務めるRumman Chowdhury氏は「機械学習モデルの偏りを見つけるのは難しく、意図しない倫理的な問題が一般に発見されて初めて企業が気づくこともあります。われわれは、それを変えたいと考えています」としています。

そしてこのプログラムを行うのは「これらの問題を特定した人々が報われるべきだと信じているからであり、我々だけではこれらの課題を解決することはできないからだ」と述べています。このコンテストは、2021年7月30日から2021年8月6日までエントリーを受け付けるとのこと。受賞者は、8月8日に開催されるTwitter主催のDEF CON AI Villageのワークショップで発表されます。

(Source:TwitterEngadget日本版より転載)

関連記事
フェイスブックがバグ懸賞プログラムに「支払い遅延ボーナス」を追加
アリババは自社クラウド部門のウイグル人を顔認識する民族検知アルゴリズムにがく然
Twitterは投稿時の画像プレビューのトリミング方法をユーザーに委ねる方針へ
Kubernetesのバグ褒賞金制度は多数のセキュリティ研究者の参加を期待
ハッカーと企業をつなぐHackerOneが39億円調達、調達総額は117億円に
テック企業大手のサービスのアルゴリズムによる偏向を防ぐ法案を民主党が提出

カテゴリー:パブリック / ダイバーシティ
タグ:機械学習 / ML(用語)差別(用語)説明責任(用語)Twitter / ツイッター(企業)DEF CONハッカー / ハッキング(用語)HackerOne(企業・サービス)バイアス(用語)バグバウンティ / バグ報奨金制度(用語)倫理(用語)