《英雄聯(lián)盟》研發(fā)商 Riot Games 近日公開「Bug 賞金計(jì)畫」，目前正處於封閉測(cè)試中。

 

　　Riot 表示，Riot 曾忽略了《英雄聯(lián)盟》網(wǎng)站的一個(gè)不起眼的弱點(diǎn)，如果駭客夠聰明的話，將可以竊取其他玩家的身分、在論壇上冒充其他玩家甚至進(jìn)行網(wǎng)路詐騙的工作，而一名來自澳洲雪梨的 24 歲安全研究者 Jamieson O’Reilly 發(fā)現(xiàn)了這個(gè)問題，他將他的發(fā)現(xiàn)透過 Riot 的整體問題信箱寄給了 Riot，直到一個(gè)星期過後，這封信才到達(dá)可以處理這個(gè)問題的 Riot 安全團(tuán)隊(duì)一名人士手中，雖然這個(gè)問題最後被解決了，但 Riot 承認(rèn)這個(gè)問題處理其實(shí)應(yīng)該可以做得更好。

 

　　為了改善從回報(bào)系統(tǒng)問題到 Riot 應(yīng)對(duì)處理的過程與時(shí)間等問題，Riot 啟動(dòng)了「Bug 賞金計(jì)畫」，從 2013 年 4 月開始啟動(dòng)封閉測(cè)試，由少數(shù)經(jīng)過 Riot 確認(rèn)的安全專業(yè)人員來參與，這些專業(yè)人員幫助他們發(fā)現(xiàn)超過 75 個(gè) Bug 或問題，包括客戶端、視覺相關(guān)漏洞，或者是影響玩家在論壇行動(dòng)的問題等。Riot 至今已經(jīng)支付 10 萬美元給這些受邀參與測(cè)試專業(yè)人員。
 

 

　　Bug 賞金計(jì)畫的執(zhí)行過程主要是當(dāng)研究人員發(fā)現(xiàn)新的或是嚴(yán)重的安全問題時(shí)，可以到 Riot 的 HackerOne 網(wǎng)頁提交他們的發(fā)現(xiàn)，這將有可能換取到現(xiàn)金，他們有設(shè)定如何取得賞金的一定規(guī)則（例如不能去攻擊其他玩家及其帳號(hào)），若是符合資格就可以獲得賞金。Riot 甚至可以在確認(rèn)問題、更新的 24 小時(shí)內(nèi)提供賞金給發(fā)現(xiàn)的安全人員。

 

　　Riot 表示，在他們擴(kuò)大這項(xiàng)計(jì)畫之前，他們需要建立基本的流程，讓旗下安全團(tuán)隊(duì)可以有效處理來自各領(lǐng)域的報(bào)告，然後將這些報(bào)告內(nèi)容可以轉(zhuǎn)化為研發(fā)團(tuán)隊(duì)所需要處理的 Bug。他們期待有一天，整個(gè)社群都可以加入發(fā)現(xiàn) Bug 的行列，但在此之前，若是有人發(fā)現(xiàn)任何嚴(yán)重的安全問題，也可以向 soc@riotgames.com 信箱來告知。