ウクライナのハッカーやセキュリティ研究者によると、バグ報奨金制度プラットフォームのHackerOne(ハッカーワン)は、場合によっては数千ドル(数十万円)にもなるバグ発見・報告の報酬金を保留し、ハッカーが報酬を引き出せないようにしているという。
HackerOneのアカウントを持つ複数のハッカーや研究者は、2022年2月末のロシアのウクライナ侵攻にともなう経済制裁と輸出規制を理由に、HackerOneが支払いをブロックしているが、自分たちには制裁は適用されないとツイートしている。
HackerOneのサポート担当者がセキュリティ研究者のVladimir Metnew(ウラジミール・メットニュー)氏に送ったメールには「ウクライナ、ロシア、ベラルーシにお住まいの場合、すべての通信と取引(スワッグの発送を含む)は当分の間、一時停止されます」とあり、メットニュー氏はその文面をツイートしている。ウクライナ人だが現在は欧州連合内にいるメットニュー氏はアカウントが凍結されているとTechCrunchに語った。「ウクライナから登録した人全員への支払いをブロックしたのだと思います」と同氏は話した。
バグ報奨金プログラムを展開するHackerOneは、セキュリティバグを発見・報告するハッカーやセキュリティ研究者と、製品やサービスの修正を依頼する企業の仲介を行っている。2020年にHackerOneは1億700万ドル(約126億円)超のバグ発見報酬金を研究者に支払い、彼らの多くはその収益を収入源としている。
ウクライナに残っている他のハッカーや研究者からも「口座が凍結された」「資金を引き出せない」といった同様の状況が報告されている。発見したバグがTechCrunchで定期的に報じられているウクライナのセキュリティ研究者Bob Diachenko(ボブ・ディアチェンコ)氏は、2月以降の収益3000ドル(約35万円)が現在保留されているとツイートで述べた。
HackerOneからの明白な公式連絡がなく、ウクライナ人全員への支払いを止める動きは怒りと混乱をもって受け止められている。HackerOneがどのような制裁や輸出規制を指しているのかは不明だ。米国、欧州連合、その他いくつかの同盟国は、ロシアとベラルーシに対して厳しい経済制裁を科し、現在分離主義のグループが保持しているウクライナ東部のドンバス地方や、2014年にロシアに併合されたクリミアに対する禁輸措置も行っている。しかし、ウクライナはそうした制裁の対象ではない。
影響を受けているハンドルネームkazan71pのあるウクライナ人ハッカーは「クリミアやドンバス出身ではない【略】あなたはすべてのウクライナ人のアカウントを停止し、国全体を制裁下に置いただけだ」とHackerOneに言及したツイートで述べた。
HackerOneは、ウクライナのハッカーや研究者への支払いをブロックした理由や、適用されると考えている特定の制裁を引用していない。TechCrunchが本稿公開の数時間前にHackerOneに連絡を取ったところ、同社の広報担当者はすぐにコメントしたり質問に答えたりすることはできなかった。詳細が分かり次第、更新する。
アカウント凍結は、HackerOneのCEOであるMarten Mickos(マーチン・ミコス)氏が、制裁対象国、特にロシアやベラルーシに住むハッカーの収益を慈善事業に「再ルート」すると述べたた頃に実施されたようだ。同氏はツイートのスレッドでそのように発言し、そのスレッドはすでに削除されている。
xnwupというハンドルネームのあるハッカーは、HackerOneが2万5000ドル(約295万円)の収益を「私がベラルーシ市民だから」奪っていると述べた。ウクライナへの支持を表明しながらも、ベラルーシ政権に反対する発言で安全が脅かされることを恐れたこのハッカーは、自分たちの収益は「長年の努力の結果」だと語った。
ミコス氏は新しいツイートスレッドで資金のルート変更についてのコメントを撤回し、今度はハッカーの許可を得た場合にのみハッカーの報酬を寄付することを申し出た。
画像クレジット:Alexandre Dulaunoy / Flickr
[原文へ]
(文:Zack Whittaker、翻訳:Nariko Mizoguchi)
