Hacker News 의견

• 한 사용자는 2024년 6월에 Zendesk, Apple, Slack에 동일한 버그를 보고했으며, 이들이 버그에 대한 보상을 하지 않은 이유는 아마도 그들이 처음이 아니었기 때문이라고 언급함

  • 비디렉토리 SSO 옵션인 Sign in with Apple(SIWA)가 잘못 구현되었으며, 이는 Slack과 같은 대기업에서도 마찬가지임
  • 비디렉토리 SSO는 디렉토리 SSO와 동일한 신뢰를 가질 수 없으며, SSO 제공자는 동일한 이메일 주소를 사용하더라도 서로 대체 가능하지 않음

• 다른 사용자는 Zendesk가 Google 검색 결과를 오염시키기 위해 "Zendesk Alternative"라는 가짜 밴드를 만들었다고 주장함

  • 이는 불법은 아니지만, 그들의 사고방식을 보여주는 조작적인 행동이라고 언급함

• 한 사용자는 Zendesk가 버그에 대해 보상을 거부한 것이 실망스럽다고 말하며, 이는 큰 보상 프로그램에 참여하지 않게 만드는 방법이라고 언급함

  • Zendesk와의 인터뷰 경험이 매우 나빴다고 덧붙임

• 또 다른 사용자는 비효율적인 버그 바운티 프로그램이 소프트웨어 서비스에 부정적인 영향을 미친다고 언급함

  • Zendesk가 보상을 하고 사과하며 프로그램을 수정해야 한다고 주장함

• 한 사용자는 Zendesk가 13억 달러의 수익을 올리는 회사임에도 불구하고 보상을 하지 않는 것이 단기적인 시각이라고 비판함

  • 이는 합리적인 결정이 아니며, 사적인 자본이 비용을 절감하고 브랜드를 소모시키고 있다고 언급함

• 다른 사용자는 Zendesk가 버그의 영향을 제대로 이해하지 못했기 때문에 무시했을 것이라고 설명함

  • 명확한 영향이 없으면 많은 취약점이 단순한 버그로 보일 수 있다고 언급함

• 한 사용자는 Zendesk가 Apple 계정 확인 이메일 문제만 해결했으며, 근본적인 문제는 해결하지 않았다고 지적함

  • 기본 설정으로 이메일과 티켓 ID를 알면 누구나 지원 티켓을 탈취할 수 있는 가능성이 있다고 언급함

• 두 가지 별도의 취약점이 존재한다고 설명함

  • Zendesk는 원래 요청자의 이메일 주소에서 회신을 보내 CC를 추가할 수 있도록 허용함
  • Slack은 추가 확인 없이 Sign in with Apple을 통해 도메인 전체 로그인을 허용함

• Zendesk가 문제를 무시하고 비공개로 유지하려고 했다는 점을 비판함

  • 이는 비전문적인 태도이며, 보상을 하지 않은 이유가 될 수 있다고 언급함

• 마지막으로, 한 사용자는 Zendesk가 버그에 대한 보상을 거부한 것을 비판하며, 보고자가 모든 절차를 올바르게 수행했음을 강조함