昨秋、Jakub Ciolek氏は、人気のKubernetesコントローラーであるArgo CDにおける2件のサービス拒否(DoS)バグを、HackerOneのInternet Bug Bounty(IBB)プログラムを通じて報告した。いずれもCVEが割り当てられ、その後修正されている。しかし、2件の欠陥に対する8,500ドルの報奨金を受け取る代わりに、Ciolek氏によれば、HackerOneは数カ月にわたり彼を「音信不通」の状態にしたという。
オープンソースのバグバウンティプログラムは火曜日になってようやくCiolek氏に連絡したが、それもThe RegisterがHackerOneに対し、報奨金支払いの状況とIBBプログラム全般について問い合わせた後のことだった。
HackerOneのIBBは、クラウドファンディング型のバグバウンティプログラムで、資金をプールして現金報酬を提供することで、研究者やメンテナーがオープンソースソフトウェアの脆弱性を見つけて修正することを促している。オープンソースコードに依存して自社の技術やサプライチェーンを動かしている組織(つまり、誰もが)報奨金プールに拠出できる。
CVEで追跡される脆弱性が修正されると、プログラムは自動的に資金を差し引いて報酬を支払い、報奨金の80%がバグを報告したハッカーに、20%が修正費用の支援としてオープンソースプロジェクトに渡る。
少なくとも、仕組み上はそうなっている。
研究者が、CVEが発行され修正が提供された後でさえ沈黙に直面するようでは、このモデル全体への信頼が損なわれる
「研究者が、CVEが発行され修正が提供された後でさえ沈黙に直面するようでは、このモデル全体への信頼が損なわれます」とCiolek氏はThe Registerに語った。「『プログラムは停止中です』という簡単な通知があるだけでも大きく違います。研究者を音信不通にするのは、その逆です。」
高深刻度の2件のサービス拒否の欠陥、CVE-2025-59538とCVE-2025-59531は、Kubernetes向けのGitOps継続的デリバリーツールであるArgo CDに影響する。悪用された場合、これらの問題により、リモート攻撃者が認証なしで脆弱なインスタンスをクラッシュさせる可能性がある。
オープンソースプロジェクトのメンテナーは、9月30日にリリースされたバージョン2.14.20、3.2.0-rc2、3.1.8、3.0.19で両方の脆弱性を修正し、欠陥を報告した功績としてCiolek氏の名前をクレジットした。
完全な沈黙
10月以降、Ciolek氏は、支払いをいつ受け取れるのか、そもそも受け取れるのか、あるいはウェブサイト上では依然としてアクティブと表示されているにもかかわらずIBBプログラムが一時停止されているのかを確認するため、HackerOneの誰かに何度も連絡を試みたという。Ciolek氏によれば、これらの問い合わせはすべて完全に無視された。しかも彼は初心者ではない。これまでに約20件のバグ開示実績があり、昨年このバウンティプログラムから2回の支払いを受けている。
「IBBの手順で求められている通り、2025年10月30日にHackerOneへ報告を提出しました」と彼はThe Registerに語った。「それ以来、HackerOneから確認や更新を得ようと繰り返し試みてきました。」
これには、11月14日、11月19日、12月15日にプラットフォーム経由でメッセージを送ったことが含まれるという。また、12月15日に公式IBBアドレス([email protected])へメールし、12月22日には従業員にも連絡した。
「これらの試みのいずれにも返答はありませんでした」とCiolek氏は述べた。「HackerOne自身のIBBページによれば、最後に解決されたレポートはおよそ8カ月前のもののようです。」
しかし火曜日、彼はHackerOneからメールを受け取り、辛抱強く待ってくれたことへの謝意、プログラムが引き続きアクティブであることの確認、そして彼のバグ報告が「一時的な運用上の滞留により報酬処理待ちの状態にある」ことが記されていた。
HackerOneはCiolek氏に対し、定期的な報酬支払いを第1四半期末まで、またはそれより早く再開する見込みだと伝えた。
バグバウンティプラットフォームは、The Registerからの問い合わせに回答しなかった。
Ciolek氏が時間と労力に対する金銭的な報酬を受け取れそうではあるものの、研究者に対するコミュニケーション不足は依然として問題だ。
「バグバウンティプログラムは信頼と明確さの上に成り立っています」とCiolek氏は語った。「プログラムが一時停止している、資金が打ち切られている、あるいは何らかの理由で非アクティブである――それ自体は十分理解できます。しかし、それは伝えられる必要があります。」
「強調しておきたいのは、私は純粋にお金のためだけに脆弱性研究をしているわけではないということです」と彼は付け加えた。「私の発見の多くにはバウンティが付いていません。それでもバウンティは重要です。監査、文書化、責任ある開示に費やす時間の埋め合わせになり、資金のないオープンソースプロジェクトに取り組むことを研究者が正当化しやすくしてくれます。」
Ciolek氏は、AIの粗製乱造が少なくとも一因になっているのではないかとも疑っている。
「プラットフォーム側も、低品質なLLMベースや自動化された投稿を含むノイズの増加に対処しているのだと思います」と彼は述べた。「しかしだからこそ、有効で信号の強い報告への応答性は、低くなるどころか、より重要になります。」 ®
翻訳元: https://go.theregister.com/feed/www.theregister.com/2026/01/07/hackerone_ghosted_researcher/
